조끼
VEST | 이 글은 대부분의 독자들이 이해하기에는 너무 기술적인 것일 수도 있다. (2012년 5월)(이과 시기 |
 BEST의 고수준 구조 | |
| 일반 | |
|---|---|
| 디자이너 | 숀 오닐 |
| 초간출판 | 2005년 6월 13일 |
| 암호상세 | |
| 키 사이즈 | 아무 것이나 |
| 보안 클레임 | 80-256비트 |
| 상태 크기 | 256비트(VERST-4) ~ 768(VERS-32) |
| 구조 | NLFSR, SPN, T-기능 |
BEST(Very Efficient Replacement Transposition) 암호는 션 오닐, 벤자민 기틴스, 하워드 랜드만이 설계한 내충돌 해시 함수로 동작할 수 있는 범용 하드웨어 전용 암호의 집합이다.[1] 소프트웨어에서는 BEST를 효율적으로 구현할 수 없다.
BESET는 균형잡힌 T-기능을 기반으로 하며, 병렬 피드백(NLPFSR)을 가진 생체적 비선형 피드백 시프트 레지스터 또는 비선형 RNS 기반 카운터의 지원을 받는 대체-퍼튜팅 네트워크로도 설명할 수 있다. 암호 규격에 기술된 4개의 BEST 계열 트리는 BEST-4, BEST-8, BEST-16, BEST-32이다. BEST 암호는 가변 크기와 즉각적인 재키잉을 지원하는 키와 IV를 지원한다. 모든 BEST 암호는 모든 클럭 사이클에서 출력을 해제한다.
모든 BEST 변형은 시냅틱 연구소가 소유한 유럽 특허 번호 EP 1820295(B1)에 의해 보호된다.
BESET는 하드웨어 포트폴리오에서 eSTREAM 경쟁의 2단계 후보였으나 3단계 후보나 포커스 후보는 아니었으며 최종 포트폴리오의 일부가 아니다.
개요
| 암호: | 조끼-4 | 조끼-8 | BEST-16 | BEST-32 | AES-128 |
|---|---|---|---|---|---|
| 출력, 호출당 비트 수: | 4 | 8 | 16 | 32 | 128 |
| 요청된 보안, 비트: | 80 | 128 | 160 | 256 | 128 |
| 권장 키 길이, 비트: | 160 | 256 | 320 | 512 | 128 |
| 권장 해시 길이, 비트: | 160 | 256 | 320 | 512 | |
| 카운터 크기, 비트: | 163 | 163 | 171 | 171 | |
| 코어 크기, 비트: | 83 | 211 | 331 | 587 | |
| 상태 크기, 비트: | 256 | 384 | 512 | 768 | 128 |
디자인
전체구조
BESET 암호는 비선형 카운터, 선형 카운터 디퓨저, 큰 상태의 바이젝티브 비선형 축전지와 선형 출력 결합기의 네 가지 구성 요소로 구성된다(이 페이지의 오른쪽 상단 모서리에 있는 이미지로 그림). RNS 카운터는 프라임 주기의 16 NLFSR로 구성되며, 카운터 디퓨저는 피드백이 16 카운터의 출력을 10비트로 압축하는 5:1 선형 콤비너 세트인 동시에 8개의 데이터 입력을 9비트로 확장하는 동시에 코어 어큐뮬레이터는 카운터 디퓨저의 10비트를 입력으로 받아들이는 NLPFSR이다.utput combiner는 6 대 1 선형 콤비너 세트다.
축전기
BEST 암호의 코어 축전지는 각 비트에 하나씩 비선형 6 대 1 피드백 기능을 사용하여 구성된 SPN으로 볼 수 있으며, 모두 동시에 업데이트된다. BEST-4 코어 축전지는 다음과 같다.
10비트(d09 - d)를 입력으로 받아들인다. 축전지 상태의 최소 5비트(p0 - p4)는 5×5 대체 박스에 의해 업데이트되고 각 라운드의 처음 5개 입력 비트와 선형 결합된다. 다음 5개의 축전지 비트는 다음 5개의 입력 비트와 선형적으로 결합되며 덜 중요한 축전지 비트 중 4개의 비선형 함수와 결합된다. 인증된 암호화 모드에서 암호문 피드백 비트는 중요도가 낮은 축전지 비트 중 4개의 비선형 함수로 축전지에 다시 선형적으로 공급된다(e0 - e3). BEST 축전지 상태의 다른 모든 비트는 각 라운드에서 축전지 상태의 중요도가 낮은 5비트의 비선형 함수와 선형 결합된다. 각 비트에 대한 피드백 함수에 대한 입력으로 덜 중요한 비트만 사용하는 것은 T-기능의 전형이며 피드백의 생체성을 책임진다. 이 대체 작업은 해당 상태에 있는 모든 비트의 유사 편차 전치(아래 그림 참조)가 뒤따른다.
데이터 인증
BEST 암호는 동일한 속도로 키스트림 생성과 동일한 영역을 점유하고 있는 일반 텍스트가 아닌 Phellix와 유사하지만 인증된 고유 인증 암호화 모드에서 실행될 수 있다. 그러나 키 없는 인증(해싱)은 코어 축전지에 직접 입력하는 것이 아니라 카운터에 일반 텍스트를 로드하여 한 번에 8비트만 수행된다.
패밀리 키잉
4개의 루트 BEST 암호 패밀리는 BEST-4, BEST-8, BEST-16, BEST-32로 불린다. BEST 암호의 4가지 패밀리 트리는 각각 같은 크기의 다른 독립 암호 패밀리를 생성하기 위한 패밀리 키잉을 지원한다. 패밀리 키잉 프로세스는 고유한 대체와 기간이 다른 고유한 카운터를 가진 암호 패밀리를 생성하는 표준 방법이다. 패밀리 키잉은 최종 사용자가 모든 칩에 대해 고유한 보안 암호를 생성할 수 있도록 한다.
기간
BEST 암호는 매우 긴 기간의 비선형 RNS 카운터의 도움을 받는다. 저자들에 따르면 BEST 암호의 평균 기간이나 BEST-16 및 BEST-32의 최단 기간의 확률이 일부 키에 대해 광고된 보안 등급 이하로 떨어지는 것은 여전히 개방적인 문제로 남아 있으며 계산상 실현 불가능한 일이다. 그들은 이러한 확률은 BEST-16의 경우 2−160 미만이고 BEST-32의 경우 2 미만이라고−256 믿는다. 이론적으로 가능한 가장 짧은 기간인 BEST-4와 BEST-8은 다음 표에서 볼 수 있듯이 보안 등급을 상회한다.
| 기간: | 조끼-4 | 조끼-8 | BEST-16 | BEST-32 |
|---|---|---|---|---|
| 보증 최소값 | 2134 | 2134 | 2143 | 2143 |
| 가장 긴 가능 | 2251 | 2383 | 2519 | 2791 |
퍼포먼스
소프트웨어의 계산 효율성
BEST 암호의 핵심 축전지는 소프트웨어에서의 효율적인 구현에 저항하는 복잡하고 매우 불규칙한 구조를 가지고 있다.
매우 불규칙한 입력 구조와 각 피드백 기능에 대한 고유한 입력 세트가 결합되어 효율적인 소프트웨어 실행을 방해한다. 결과적으로 모든 피드백 기능은 소프트웨어에서 순차적으로 계산되어야 하므로 하드웨어-소프트웨어 속도 차이는 하드웨어의 피드백 논리가 점유하는 게이트 수와 거의 동일하다(아래 표의 "차이"란 참조).
| 구현: | 시계 | 조끼-4 | 조끼-8 | BEST-16 | BEST-32 |
|---|---|---|---|---|---|
| 하드웨어 | 250 MHz | ~1Gbit/s | ~2Gbit/s | ~4Gbit/s | ~8Gbit/s |
| 소프트웨어 | 250 MHz | < 1.0 Mbit/s | < 0.8 Mbit/s | < 1.1 Mbit/s | < 1.3 Mbit/s |
| 차이점 | > 1000 x | > 2300 x | > 3500 x | > 6000 x |
BEST의 최적화된 하드웨어 실행과 동등하게 클럭 처리된 소프트웨어 실행 간의 큰 차이는 진정한 하드웨어 인증 토큰으로 가장하는 저비용 범용 소프트웨어 프로세서 클론에 대한 자연스러운 저항을 제공한다.
RFID 인증 애플리케이션과 같은 대량 챌린지-응답 시나리오에서, 많은 독립적인 메시지를 동시에 처리하는 32비트 프로세서에 대한 BEST 암호의 비트-라이센스 구현은 AES보다 메시지 바이트당 2-4배 느리다.
하드웨어 성능
BEST는 "저장소, 게이트 수, 전력 소비량 등 리소스가 제한된 하드웨어 애플리케이션"을 위해 설계된 Profile II에 따라 eStream 대회에 제출되며 ETH 취리히의 평가에 따라 FPGA 및 ASIC 하드웨어에서 고속을 보여준다.
저자들은 '보수적인 표준 RapidChip 설계 프런트 엔드 사인오프 프로세스'를 이용한 자체 구현에 따르면 "VEST-32는 110k Gates 및 0o SRAM 기술 180㎛ LSI Logic RapidChip 플랫폼 ASIC 기술에서 167MHz의 256비트 보안 10Gbit/s 인증 암호화에 대한 요구를 쉽게 만족시킬 수 있다"고 주장한다.M Rapidchip 기술인 BEST-32는 "45K 게이트"에서 20 Gbit/s 인증 암호화 @ 320 MHz"를 제공한다. 그들은 또한 BEST의 라운드 기능을 해제하면 클록 속도를 절반으로 줄일 수 있고 전력 소비량을 줄일 수 있으며 클록 사이클당 출력을 두 배로 증가시킬 수 있다고 말한다.
키 민첩성
BEST 암호는 다음과 같은 3가지 키잉 전략을 제공한다.
- 강력한 키 생성 또는 키 교환 프로세스에 의해 제공되는 암호화된 강력한 키(100% 엔트로피)로 전체 암호 상태 즉시 로드
- 이전에 안전하게 초기화된 암호 상태로 전체 암호 상태의 즉각적인 재로드
- (불완전한 키의) 증분 키 로딩은 (불완전한 키의) 키의 가장 중요한 비트를 따르는 단일 비트 1이 카운터 0에 로드될 때까지 각 라운드에서 16비트 창을 1비트씩 아래로 미끄러뜨린다. 이 과정은 32회의 추가 실링 라운드로 끝난다. 이제 전체 암호 상태를 즉시 다시 로드할 수 있도록 저장할 수 있다.
| 키 비트 | 키를 로드하기 위한 라운드 |
|---|---|
| 80 | 128 |
| 160 | 208 |
| 256 | 304 |
| 320 | 368 |
| 512 | 560 |
BESET 암호는 단 1개의 재동기화 전략만 제공한다.
- (IV)를 처음 8개의 RNS 카운터에 한 번에 증분 8비트씩 적재한 후 추가로 32개의 씰링 라운드를 해싱한다.
| IV 비트 | IV를 로드하기 위한 라운드 |
|---|---|
| 64 | 40 |
| 128 | 48 |
| 256 | 64 |
역사
BEST는 숀 오닐에 의해 디자인되었고 2005년 6월에 eStream 대회에 출품되었다. 이것이 그 암호의 첫 번째 간행물이었다.[citation needed]
보안
저자들은 BEST 보안 마진이 'AES 프로세스에 대한 일부 생각'이라는 논문에서 라르스 크누드센이 제안한 지침과 최근 니콜라스 쿠르투아가 제안한 'Sfinks의 크립분석'이라는 논문에서 제시한 보다 보수적인 가이드라인에 인라인적으로 부합한다고 말한다. 비록 저자들이 그들만의 암호 분석을 발표하지는 않았지만, BEST 암호는 ECRYPT에 의해 조직된 eStream 경쟁의 일부로서 1년 이상 동안 대중의 정밀 조사를 견뎌냈다. 포커스 그룹의 일원은 아니지만 그들은 2단계로 발전했다.
공격
SASC 2007에서 Joux와 라인하드는 카운터 상태의 53비트를 복구한 공격을 발표했다. 번스타인은 공격의 복잡성을 병렬화된 브루트 포스 공격과 비교함으로써 암호의 결과 강도를 100비트로 평가했는데,[2] 이는 BEST 계열의 대부분의 설계 강도보다 다소 낮았다. BEST의 설계자들은 이번 공격이 원래 암호 규격의 인쇄 오류 때문이라고 주장했으며, 공격 발표 며칠 전인 2007년 1월 21일 Cryptology ePrint 아카이브에 정정문을 게재했다.
참조
- Lars R. Knudsen의 "AES 프로세스에 대한 몇 가지 생각" 논문
- 니콜라스 쿠르투아의 "스핑크스의 크립트 분석" 논문
- J. Hong과 P의 "시간 메모리 트레이드오프 재발견" 논문. 사르카르
- 다니엘 J. 번스타인의 "브뤼트 포스의 이해" 논문
- C의 "시간 메모리 데이터 트레이드오프의 재발견에 관한 논평" 논문. 드 칸니에르, J. 라노, B. 프레넬
- 저스틴 트라우트맨의 암호키에 대한 이상적-실현적 보안성
메모들
- ^ Sean O’Neil, Benjamin Gittins, Howard Landman (2005-10-25). "VEST, Hardware-Dedicated Stream Ciphers" (PDF). ESTREAM Round 1 Submission. Retrieved 2007-05-15.
{{cite journal}}: CS1 maint : 복수이름 : 작성자 목록(링크) - ^ [1]
외부 링크
| |||||||||||||||||||||||||||||||||||||||||||||||||