Trivium (shifr)

Trivium - bu simmetrik sinxron oqimli shifrlash algoritmi, Birinchi navbatda, tezlik va elementlar soni o'rtasidagi moslashuvchan muvozanat bilan apparatni amalga oshirishga qaratilgan bo'lib, u dasturiy ta'minotni ancha samarali amalga oshirish imkoniyatiga ega.

Shifr 2008-yil dekabr oyida Yevropa eSTREAM loyihasi portfelining bir qismi sifatida 2-profil (apparatga yoʻnaltirilgan shifrlar) sifatida taqdim etilgan. Shifr mualliflari Kristof De Kannier va Bart Preneldir.

Bu oqim shifriga qadar hosil qiladi ${\displaystyle 2^{64}}$ 80 bitli kalit va 80 bitli IV dan chiqish oqimi biti (boshlash vektori). Bu eSTREAM loyihasining eng oddiy shifridir, u kriptografik barqarorlik nuqtai nazaridan ajoyib natijalarni ko'rsatadi.

Trivium engil oqim shifrlash sifatida ISO/IEC 29192-3 standartiga kiritilgan.

Tavsif[tahrir | manbasini tahrirlash]

Triviumning boshlang'ich holati umumiy uzunligi 288 bit bo'lgan 3 siljish registridir. Har bir takt sikli siljish registrlaridagi bitlarni oldinga uzatish va qayta aloqaning chiziqli bo'lmagan kombinatsiyasi orqali o'zgartiradi. Shifrni ishga tushirish uchun kalit K va ishga tushirish vektori IV 3 ta registrdan 2 tasida yoziladi va algoritm 4x288 = 1152 marta bajariladi, bu esa boshlang'ich holatning har bir biti kalitning har bir bitiga va har bir bitga bog'liqligini kafolatlaydi. ishga tushirish vektorining.

Initsializatsiya bosqichidan o'tgandan so'ng, har bir siklda Z kalit oqimining yangi a'zosi hosil bo'ladi, u matnning keyingi a'zosi bilan XOR protsedurasidan o'tadi. Shifrni ochish protsedurasi teskari tartibda sodir bo'ladi - shifrlangan matnning har bir a'zosi Z kalit oqimining har bir a'zosi bilan XORlangan.^[1]

Algoritm[tahrir | manbasini tahrirlash]

Oqim shifrlari[tahrir | manbasini tahrirlash]

Trivium kalit oqimi deb ataladigan Z ketma-ketligini hosil qiladi ${\displaystyle N\leq 2^{64}}$ bit. Xabarni shifrlash uchun xabar va kalitlar oqimini XOR qilish kerak. Shifrni ochish xuddi shunday tarzda amalga oshiriladi, XOR operatsiyasi shifrlangan matn va kalit oqimidan amalga oshiriladi.

Initializatsiya[tahrir | manbasini tahrirlash]

Algoritm 80 bitli kalit va 80 bitli ishga tushirish vektorini 288 bitli boshlang'ich holatga yuklash orqali ishga tushiriladi. Boshlash quyidagi psevdokod bilan tavsiflanishi mumkin.

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (K_{1},...,K_{80},0,...,0)}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (IV_{1},...,IV_{80},0,...,0)}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (0,...0,1,1,1)}$

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ 4\cdot 288\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

Boshlash protsedurasi boshlang'ich holatning har bir biti kalitning har bir bitiga va ishga tushirish vektorining har bir bitiga bog'liqligini ta'minlaydi. Ushbu ta'sir 2 ta to'liq o'tishdan keyin (2 * 288 tsiklni bajarish) erishiladi. Yana 2 ta o'tish bit munosabatlarini murakkablashtirish uchun mo'ljallangan. Misol uchun, null kalit va ishga tushirish vektoridan olingan Z kalit oqimining dastlabki 128 bayti taxminan bir xil miqdordagi 1 va 0 ga teng masofada joylashgan. Hatto eng oddiy va bir xil kalitlar bilan Trivium algoritmi tasodifiyga yaqin raqamlar ketma-ketligini hosil qiladi.

{{{1}}} 

0000000 e0 fb 26 bf 59 58 1b 05 7a 51 4e 2e 9f 23 7f c9
0000010 32 56 16 03 07 19 2d cf a8 e7 0f 79 b2 a1 cd e9
0000020 52 f7 03 92 68 02 38 b7 4c 2b 75 1a a2 9a 9a 59
0000030 55 28 98 49 74 6e 59 80 80 03 4c 1a a5 b5 f2 d4
0000040 34 69 bb 86 ca 52 15 b3 ae 80 12 69 73 55 9a 31
0000050 b2 6c 0e f5 16 40 20 d6 30 7f 4e 3f 48 16 dc 24
0000060 25 5c ad c4 10 a1 c9 1b bb e8 01 4e dc fc 2e 27
0000070 9e fa ae 02 a2 48 05 b2 2e fb f4 4f 27 76 56 27
0000080 3e 5e b7 06 4e e6 4a 57 7b ad a2 3a 1c 52 ff 48
0000090 f3 92 f8 87 ff 98 aa 87 e6 bf f6 19 38 3c ff 19
00000a0 3f 0a a5 fd 01 ec d0 d8 fa f0 fa 87 09 a1 4e ee
00000b0 63 29 9f 9b 31 ef 95 a5 c7 76 19 8d c7 e0 df 55
00000c0 1b 0f 50 e9 b8 91 85 ea 06 7b d5 2a ad 2b 77 f4
00000d0 ac 84 9b 6d 3f 2e a9 85 99 d7 04 95 02 33 fd f0
00000e0 b7 f8 5b 6e b7 c8 f0 b4 46 aa 20 cd a0 dd dd 4f

Как можно заметить, после 4х циклов инициализации единицы, записанные в ячейки ${\displaystyle s_{286}}$, ${\displaystyle s_{287}}$ и ${\displaystyle s_{288}}$ повлияли на все остальные биты начального состояния, и, таким образом, даже при простейших и одинаковых ключах каждый байт сообщения будет изменен в результате работы алгоритма шифрования.

Algoritm bilan ishlash[tahrir | manbasini tahrirlash]

Oqim generatori holatning 3 bitini o'zgartirish va kalit oqimining 1 bitini hisoblash uchun 288 bitli boshlang'ich holatidan 15 bitdan foydalanadi. ${\displaystyle z_{i}}$. Algoritm natijasida, gacha ${\displaystyle N\leq 2^{64}}$ kalit oqimi biti. Algoritmni quyidagi psevdokod bilan tasvirlash mumkin.

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ N\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{93}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{177}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{288}}$

${\displaystyle z_{i}\leftarrow t_{1}+t_{2}+t_{3}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

Ushbu psevdokodda barcha hisoblar modul 2 bo'yicha amalga oshiriladi. Ya'ni qo'shish va ko'paytirish amallari XOR va AND amallaridir.

Davr[tahrir | manbasini tahrirlash]

Boshlang'ich holat o'zgarishlarining chiziqli bo'lmaganligi sababli kalit oqim davrini aniqlash qiyin. Agar barcha flip-floplar AND bo'lsa ham, natijada to'liq chiziqli sxema bo'lsa ham, har qanday kalit juftligi va ishga tushirish vektori buyurtma davri bilan kalit oqimini yaratishga olib kelishini ko'rsatish mumkin. ${\displaystyle 2^{96-3}-1}$ (bu kerakli kalit oqimi uzunligidan allaqachon oshib ketadi ${\displaystyle 2^{64}}$).

Agar Trivium oz sonli iteratsiyalardan so'ng tasodifiy kalit oqimini yarata boshlaydi deb faraz qilsak, u holda barcha hosil qilingan ketma-ketliklar ${\displaystyle 2^{288}}$ aql bovar qilmaydigan bo'ladi. Shuningdek, kalit/boshlash vektor juftligidan kamroq muddatga kalit oqimini yaratish ehtimoli ${\displaystyle 2^{80}}$ tartibda bo'ladi ${\displaystyle 2^{-208}}$^[2].

Trivium oilaviy shifrlari[tahrir | manbasini tahrirlash]

Ushbu shifrning modifikatsiyalari siljish registrlari soni va ularning uzunligi bilan farqlanadi.

Univium[tahrir | manbasini tahrirlash]

Univium oqim shifrlash bitta siljish registridan iborat bo'lib, kodlash uchun faqat registr uzunligidan uzun bo'lmagan kalit kerak bo'ladi.^[1]

Bivium[tahrir | manbasini tahrirlash]

Trivium bilan birgalikda uning mualliflari umumiy uzunligi 177 bit bo'lgan atigi 2 ta siljish registrini amalga oshiradigan Bivium shifrini taklif qilishdi. Boshlash jarayoni Triviumga o'xshaydi. Har bir tsiklda 2 ta holat biti o'zgartiriladi va kalit oqimining yangi biti hosil bo'ladi. Kalit oqimining avlodiga ko'ra Z, 2 ta versiya mavjud: Bivium-A va Bivium-B (Bivium). Bivium-A yangi a'zo Z ning o'zgartirilgan status bitiga bevosita bog'liqligini amalga oshirdi ${\displaystyle z_{i}\leftarrow t_{1}}$, Bivium-B (Bivium) da undan farqidan ${\displaystyle z_{i}\leftarrow t_{1}+t_{2}}$.^[3]

Trivium-o'yinchoq va Bivium-o'yinchoq[tahrir | manbasini tahrirlash]

O'yinchoq versiyalari registr uzunliklarini qisqartirish yo'li bilan olingan, bu esa barcha matematik xususiyatlarni saqlab qolgan holda algoritmning hisoblash murakkabligini pasaytirdi. Har bir registrning uzunligi 3 baravar qisqardi va Bivium-toy ham faqat ikkita registrdan iborat edi.

Trivium shifrining har bir modifikatsiyasi uning matematik tavsifini soddalashtirish uchun yaratilgan bo'lib, u axborot xavfsizligi vositalarida ulardan foydalanishdan ko'ra ko'proq ta'lim maqsadiga ega.^[4]

Ishlashi[tahrir | manbasini tahrirlash]

Algoritmning standart apparat amalga oshirilishi 3488 mantiqiy elementni talab qiladi va 1 sikl uchun 1 bit kalit oqimini ishlab chiqaradi. Biroq, har bir yangi bit holati kamida 64 tur davomida o'zgarmasligi sababli, mantiqiy elementlar sonini 5504 ga oshirishda parallel ravishda yana 64 holat yaratilishi mumkin. Amaldagi elementlar soniga qarab turli xil ishlash o'zgarishlari ham mumkin.

Ushbu algoritmning dasturiy ta'rifi ham juda samarali. AthlonXP 1600+ protsessorida Trivium C ilovasi 2,4 Mbit/s dan ortiq shifrlash tezligini ta'minlaydi.

Xavfsizlik[tahrir | manbasini tahrirlash]

RC4 kabi dastlabki oqim shifrlaridan farqli o'laroq, Trivium algoritmi shaxsiy kalitga (K) qo'shimcha ravishda ochiq kalit bo'lgan ishga tushirish vektoriga (IV) ham ega. IV dan foydalanish faqat 1 kalit va bir nechta ishga tushirish vektorlari (har bir seans uchun bitta) yordamida bir nechta mustaqil shifrlash/parchalash seanslariga imkon beradi. Bundan tashqari, har bir yangi xabar uchun yangi IV dan foydalanib, bir seans uchun bir nechta ishga tushirish vektorlaridan foydalanishingiz mumkin.

Hozirgi vaqtda ushbu algoritmga hujum qilishning ketma- ket ro'yxatga olishdan ko'ra samaraliroq usullari ma'lum emas. Ushbu hujumning murakkabligi xabarning uzunligiga bog'liq va buyurtma bo'yicha ${\displaystyle 2^{120}}$.

Hujum usullari (masalan, kubik hujum^[5]) bo'yicha tadqiqotlar mavjud, ular samaradorlik jihatidan sanab o'tishga yaqin. Bundan tashqari, K ni IV va kalit oqimidan tiklashga imkon beruvchi hujum usuli mavjud. Ushbu hujumning murakkabligi ${\displaystyle 2^{135}}$ va bitta kalit bilan ishlatiladigan ishga tushirish vektorlari soni ortishi bilan bir oz kamayadi. Naqshlarni topish va oqimning keyingi bitlarini bashorat qilish uchun kalit oqimining psevdo-tasodifiy ketma-ketligini o'rganish bilan ham hujumlar mumkin, ammo bu hujumlar murakkab chiziqli bo'lmagan tenglamalarni hal qilishni talab qiladi. Bunday hujumning eng kam olingan murakkabligi ${\displaystyle 2^{164}}$^[6][7]

Tadqiqot usullari[tahrir | manbasini tahrirlash]

Trivium ning deyarli barcha xakerlik yutuqlari algoritmning qisqartirilgan versiyalarida muvaffaqiyatli amalga oshirilgan hujumlardan foydalanishga urinishdir^[1]. Ko'pincha Bivium algoritmining versiyasi o'rganilayotgani sifatida ishlatiladi, unda umumiy uzunligi 192 bit bo'lgan atigi 2 ta siljish registrlari qo'llaniladi^[1].

Eslatmalar[tahrir | manbasini tahrirlash]

Havolalar[tahrir | manbasini tahrirlash]

• eSTREAM loyihasi sahifasidagi trivium (Wayback Machine saytida 2015-09-23 sanasida arxivlangan) Архивная копия -da arxivlangan
• eSTREAM loyihasi sahifasidagi algoritm tavsifi (Wayback Machine saytida 2015-09-20 sanasida arxivlangan) Архивная копия
• Oqim shifrlarini qurish tamoyillari (Wayback Machine saytida 2011-05-26 sanasida arxivlangan)