广告

西蒙分组密码族和微斑分组密码族的ISO/IEC标准化说明

开放获取

摘要

Simon和Speck是美国国家安全局(NSA)于2013年发布的两个分组密码家族。这些分组密码,针对轻量级应用,在2015年被建议包括在ISO/IEC 29192-2信息技术安全技术轻量密码学第2部分:分组密码.在ISO/IEC JTC 1进行了3.5年的审议后,它们于2018年4月被否决。本章为Simon和Speck提供了ISO/IEC标准化过程的说明。

4.1简介

就其本质而言,密码算法需要大规模协议来实现安全通信。ANSI、IEEE和ISO/IEC等机构的标准化是行业和政府达成此类协议的重要手段。在公开情况下,标准化过程可以有效地达成可信任、安全、高效的加密算法,就像AES的情况一样[444].然而,不透明的标准化过程容易被颠覆,例如Dual-EC [472].

近年来,标准化机构启动了一些项目,以了解对轻量级密码算法的需求。我们揭示了ISO/IEC标准化过程,一个不被公众很好理解的过程,通过深入研究如何审查密码算法并确定其适合标准化。为此,我们按时间顺序描述了导致NSA区块密码Simon和Speck被移除的事件。64]从ISO/IEC过程中考虑,从首次公开发布开始跨越5年。我们的目标是教育更广泛的公众和学术界,了解导致政府和行业就确保数字通信安全的算法达成一致的过程。1

4.2西蒙和斯派克

Simon和Speck是由美国国家安全局设计并于2013年发布的两个分组密码家族[64].每个家族都有十个不同的区块和密钥大小的变体。这两个密码的目标是在资源受限的平台上非常有效,Simon针对硬件实现,Speck针对软件实现。

4.2.1西蒙

西蒙家族的成员被记为西蒙2n在2n是块大小和是键的大小。有关块大小和键大小对的列表,请参见表4.1.所有变体都使用平衡的Feistel结构迭代一个简单的圆函数,只使用异或,位与和循环位旋转。Simon的圆函数如图所示。4.1
图4.1

一轮Simon(没有最后的交换操作)

表4.1

西蒙的参数

块大小(2n

密钥大小(

轮(T

32

64

32

48

72

36

96

36

64

96

42

128

44

96

96

52

144

54

128

128

68

192

69

256

72

对于所有的变体,关键调度是一个LFSR正在运行单词。

每个变体的轮数,这是标准化过程中一个很大的争论来源,以及轮相关常数,也可以在表中找到4.1

4.2.2斑点

与Simon类似,Speck家族包括十个变体,它们的块和键大小不同。一个成员被标记为Speck2n在2n是块大小和是键的大小。Speck建立在ARX设计范式之上,密码由三个操作组成:模块化加法、旋转和异或(因此得名ARX)。

虽然ARX操作在软件中很有效,但众所周知,它的扩散速度很慢。通常,这种缓慢的扩散要求使用大量的子弹(参见例如,[214)以确保安全。然而,正如在续作中所讨论的,设计师认为他们对密码的扩散有很好的理解,并满足于相对较少的回合数。

为了减少实现的大小,设计人员将Speck的圆函数用于键调度,输入整数作为圆键,并在每轮中输出一个子关键字。如图所示。4.2是圆函数和Speck的关键时间表。可能的块和键大小对,以及旋转常数α而且β表中列出了每种变体4.2
图4.2

一回合的微尘和它的关键时间表

表4.2

小点的参数

块大小(2n

密钥大小(

αβ

轮(T

32

64

(7,2)

22

48

72

(3) 8

22

96

(3) 8

23

64

96

(3) 8

26

128

(3) 8

27

96

96

(3) 8

28

144

(3) 8

29

128

128

(3) 8

32

192

(3) 8

33

256

(3) 8

34

4.3Simon和Speck的“设计原理”

现代分组密码设计的一个标准实践是提供一个设计原理来解释设计决策(例如,轮数常数、轮数、旋转量等的选择)和新算法的预期安全性。设计原理没有特别的结构,但它通常包括设计师试图应用于算法的攻击的描述,以及设计师为什么认为算法是安全的一些推理(例如,使用宽路径策略)。如果密码有额外的特征(例如是一种对合),它们也在设计原理中被描述和解释。

设计原理的目的是双重的。首先,它允许密码分析师快速丢弃已经被设计者尝试和排除的攻击。其次,它提供了一个关于算法应该有多安全的总体思路。一旦发现针对算法的新攻击,就可以将它们与设计者报告的预期安全性进行比较,以了解它们的严重程度。

对新算法的安全性建立信心的一个重要组成部分是设计师和第三方密码分析师之间的团队合作。虽然设计师具有理解算法内部的“主场优势”,但密码分析师享有公正的观点,使他们能够看到可能被设计师忽略的东西。

这就是为什么美国国家安全局选择不为他们的算法提供任何安全设计原理的原因。分析新发布的NSA密码的诱惑对许多人来说都是诱人的,因为NSA留下的真空很快就被第三方分析填补了。561819183].

由于他们在ISO中标准化Simon和Speck的尝试遭到了巨大的阻力(下面将进一步讨论),设计师们最终在2017年4月向ISO提供了他们所谓的“设计原理”。根据ISO专家的要求,这个所谓的设计原理于2017年6月通过ePrint存储库向加密社区公开[66].2发布这个设计原理的目的在章节中说明。4.4

有人表示希望我们发表对西蒙和斯佩克的分析,我们当然理解他们希望深入了解我们的分析。因此,我们想在这里谈谈这个问题。我们将首先介绍我们作为设计团队如何考虑标准分组密码攻击及其对SIMON和SPECK设计安全性的适用性。

然而,最终拥有设计原理的喜悦是短暂的。虽然该文件大量推销算法的效率,但设计原理中的安全部分实际上是不存在的。仔细阅读[66,第4节]揭示了它不包括关于算法安全性的新信息,只是引用了公开的第三方分析。特别是,我们现在详细描述的三个警告,提出了关于所谓的设计原理是否真诚发表的问题。

4.3.1缺乏新信息

作者没有解释设计团队尝试的攻击,而是引用了其他人的工作,而没有承诺任何特定的安全声明。所谓的安全分析是以:

由于对Simon和Speck的限制攻击已经被观察到是微分和线性攻击,因此理解算法的线性和微分性质是很重要的。幸运的是,这一直是学术研究的焦点,也是我们在设计工作中相当关注的一个领域。

设计团队使用标准技术(Matsui的算法,SAT/SMT求解器)来确定Simon和Speck的最佳微分和线性路径。我们同意外部研究人员得出的结果。

读了这篇文章,我们期望设计团队能够详细解释用于限制微分路径和线性路径长度的方法3.并释放他们的工具,这样他们得到的结果就可以被复制。相反,他们继续描述学术成果,有时会将已发表的成果伪装成设计团队的原创作品。

此外,由于“多路径效应”,微分路径和线性路径不能给出全貌,这是一个已知的秘密。4设计师也承认这一点,并为Simon写道:

正如许多作者所指出的[3.419138490523], Simon具有很强的多径效应,很大程度上是因为其轮函数的简单性……我们可以非常保守地估计,在最坏的情况下,允许可检测线性相关性的轮数(12,16,20,29和37)增加了50%左右。

这个数字(50%)是如何获得的仍然未知。

类似地,Speck中差异的多径效应只是简单地陈述而没有解释:

对于Speck,差异也有轻微的多径效应,因此可以获得额外的一轮或两轮,正如Song等人所指出的那样。[537

线性逼近的多径效应根本没有被量化:

线性路径倾向于表现出更强的多路径效应,但对Speck的最佳线性攻击在任何情况下都比最佳差分攻击更差。

了解设计团队如何确定这些数字不仅对理解Simon和Speck的安全性至关重要,如果处理得当,还有助于提高其他算法的安全性。

4.3.2回合数的选择

ISO内部争论的一个主要来源是缺乏关于如何选择整数的任何信息。表格4.1给出了西蒙的各种变体的回合数。从这张表中我们可以看到,似乎没有任何规则来选择回合数(或“步进”,因为它被称为[66])。例如,从Simon48移动到= 3到= 4不会改变回合数,而同样的改变为Simon64和Simon96增加了两轮,为Simon128增加了3轮。

在[66是关于安全边际的。5设计师说:

因此,设计团队设定了与现有可信算法(如AES-128)相当的安全边际的目标。经过学术研究人员4年的共同努力,西蒙和斯佩克的各种变体的利润率平均保持在30%左右,在每种情况下都超过25%。设计团队在做出步进决策时的分析与这些数字一致。

为了确定真正的安全边际,ISO专家们试图把设计者们提出的所有要求拼凑在一起。首先,我们看了[给出的最佳路径]66]:

设计团队确定单路径概率(和线性相关性)低于2−块大小12轮,16轮,20轮,29轮和37轮西蒙分别为32轮,48轮,64轮,96轮和128轮。

然后,对于多路径效应,他们认为:

Simon有很强的多径效应,很大程度上是因为它的循环函数的简单性……我们可以非常保守地估计,在最坏的情况下,允许可检测线性相关性的循环数(12,16,20,29和37)增加了50%左右。

承认在Feistel网络的每一侧可以攻击额外的一轮:

然后,第一轮/最后一轮的攻击想法必须考虑在内。

将所有这些信息粘贴在一起可以发现,除了Simon32/64的安全边际保持在37.5%之外,所有其他变体的剩余安全边际都低于30%,范围在12.5-27.8%之间,随着区块大小的增大,数字趋于下降。具体数字见表4.3
表4.3

西蒙剩下的安全边际

的数量

最长的

150% +第一次/最后一次

剩余的安全

变体

路径

150%

圆的技巧

保证金(轮)

32/64

32

12

18

20.

37.5% (12)

48/72

36

16

24

26

27.8% (10)

48/96

36

16

24

26

27.8% (10)

64/96

42

20.

30.

32

23.8% (10)

64/144

44

20.

30.

32

27.3% (12)

96/96

52

29

43.5

45.5

12.5% (6.5)

96/144

54

29

43.5

45.5

15.7% (8.5)

128/128

68

37

55.5

57.5

15.4% (10.5)

128/192

69

37

55.5

57.5

16.7% (11.5)

128/256

72

37

55.5

57.5

20.1% (14.5)

对于Speck来说,所谓的设计原理主要集中在差分密码分析上:

步进基于最佳微分路径,这往往比最佳线性路径更强。参见[223].单差路径概率下降到2以下−块大小10、12、16、18和21发,分别用于Speck 32、48、64、96和128。

多路径效应没有被量化,报告中仅写道:

对于Speck,差异也有轻微的多径效应,因此可以获得额外的一轮或两轮,正如Song等人所指出的那样。[537].

文中提到了一种使用密钥恢复程序来攻击附加子弹的方法:

Dinur [183]表明r-圆微分区分器产生至少一个(r+)-圆攻击,其中是键的字数。

对于线性密码分析,设计者给出了一个模糊的声明:

Speck的最佳线性路径明显弱于最佳差分路径,其平方相关性下降到2以下−块大小在比差路径概率所需要的更少的回合中。这与(通过非详尽搜索)在[223].

然后他们再次引用了其他人的工作,但仅限于Speck32、Speck48和Speck64:

在[377],证明了Speck 32、Speck 48和Speck 64的平方相关性低于2−块大小分别在10轮,11轮和14轮。

多路径效应再次被提及,但不是以一种有意义的方式:

线性路径倾向于表现出更强的多路径效应,但对Speck的最佳线性攻击在任何情况下都比最佳差分攻击更差。

在Speck的情况下,不仅没有变体保留30%的安全边际,正如在[66],但Speck32/64的安全边际最大,为18.2%。具体数字见表4.4
表4.4

斯派克剩下的安全边际

多路径

效果+ m +

数量

最长的

多路径

多路径

第一/最后一轮

剩余的安全

变体

路径

效果(+ 2)

效果+ m

技巧

保证金(轮)

32/64

22

10

12

16

18

18.2% (4)

48/72

22

12

14

17

19

13.6% (3)

48/96

23

12

14

18

20.

13% (3)

64/96

26

16

18

21

23

11.5% (3)

64/144

27

16

18

22

24

11.1% (3)

96/96

28

18

20.

22

24

14.3% (4)

96/144

29

18

20.

23

25

13.8% (4)

128/128

32

21

23

25

27

15.6% (5)

128/192

33

21

23

26

28

15.2% (5)

128/256

34

21

23

27

29

14.7% (5)

我们要强调的是,这里所给出的剩余安全边际估计是非常宽裕的。它假设不存在比已经发现的路径更长的路径(设计师拒绝证实这一点),第一/最后一轮技巧确实只能应用于每一方的单一回合,并且与Speck不同,针对Simon的关键恢复攻击不能超出所使用的统计属性。

即使在这些慷慨的假设下,安全边际似乎也略显不安全。令人惊讶的是,安全边际似乎随着区块大小而减小,大约一半的变体的安全边际低于(有时远远低于)声称的25%。特别是,当这个所谓的设计原理最终发布时,只有Simon和Speck的128位变体被考虑在ISO中标准化,因为它们的安全边际非常小。

面对这些评论,设计师更新了[66]并将多路径效果的50%数字更改为25%,添加了一个脚注,如下所示:

这篇论文的原始版本在这里说了50%,但指出这是“非常保守的”。这导致了一些人的困惑,他们将50%解释为一个确切的值,而不是我们预期的非常保守的上限。这是由文献支持的(参见,例如,[138])及我们的内部分析。事实上,50%是一个严重高估;25%似乎是一个更准确的估计。我们为这里的不清晰表示歉意,并注意到,即使未来的进展增加25-50%西蒙仍然是安全的。

事实上,这个脚注对事实的描述很随意。在设计团队和一位ISO专家的私人通信中,前者写道:

有趣的是,在18个回合中,似乎存在* *可能的区别。然而,这并不是十拿九稳的事情……然而,我认为这样一个区分器的存在可能会得到分析论证的支持……

4.3.3错误引用现有作品

在对微分路径和线性路径进行了扩展讨论之后,设计师继续简要讨论其他不太引人注目的攻击。当以专家的眼光阅读这一节时,很明显,有些说法是有意或无意的过时了。在讨论滑动和旋转攻击的段落中,有一种说法尤其突出。设计师写道:

Simon和Speck都使用圆形计数器来阻止滑动和旋转属性……

我们注意到,与许多分组密码一样,计数器是设计的基本元素;没有它们,就会出现轮换攻击。事实上,一篇非常早期的分析论文描述了对Speck的旋转攻击,但这只是因为该论文的作者错误地忽略了计数器(参见[6](20130909版本))。也参见[28].

不了解情况的读者可能会将这段话理解为通过在状态中注入圆形常数来避免旋转攻击,这种方法得到了Ashur和Liu [28].虽然添加循环常数确实是对抗旋转攻击的常见对策,但上述[28]实际上提出了一种构建旋转区分器的新方法,尽管算法使用圆常数。为了说明问题[28]通过为Speck建立一个旋转属性来举例说明了新方法。因此,[376],是[的后续工作。28]使用这种方法使用旋转密码分析(超过了被设计师认为是限制攻击的微分和线性密码分析)来构建针对某些Speck变体的最长区分符。

4.4ISO/IEC JTC 1标准化过程

ISO/IEC JTC 1的工作在两个层面上进行:专家层面和国家层面。JTC 1的正式成员是国家,更确切地说,是这些国家内的国家标准化机构(NBs)。在标准化进程的各个阶段(例如,修改现有标准、取消项目、批准委员会草案等),国家标准化委员会被要求通过一种称为a的程序对某些问题进行投票正式的投票

会议每6个月举行一次,每次都在不同的国家举行。国家机构发送国家专家在会议之间讨论投票结果,并解决意见和分歧。

JTC 1制定标准的规则受ISO/IEC指令第1 - 2部分[295296],这些文件均为公开文件。特别是,[295第2节(国际标准的制定)概述了一个项目在被接受为国际标准的一部分之前应该遵循的各种步骤。

ISO/IEC jtc1的工作以国际化和市场为导向,主要围绕以下概念展开共识.达成共识的重要性载于[295序):

协商一致是一项基本的程序原则,也是制定国际标准的必要条件,它要求解决大量的反对意见。虽然技术工作需要迅速推进,但在审批阶段之前,对重大技术分歧的讨论、谈判和解决也需要充足的时间。

确定是否已达成共识的更精确程序见[295,第2.5.6节],我们将在下文进一步提及。

当开发一个新标准或修改一个现有标准时,一个编辑和可能的联合编辑被分配到这个项目中。编辑的角色是管理来自不同利益相关者的评论,解决它们,并将更改整合到草案文本中。每个项目也设定了目标日期。没有达到目标日期的项目将自动取消,尽管可以延期。

为了更好地理解Simon和Speck的标准化及其导致的取消,我们现在简要地解释该过程的一些重要阶段。

研究期间

新算法的标准化过程始于一个研究周期(SP)。在此过程中,起草了一份贡献呼吁(CfC),并将其发送给利益相关者。请利益相关方就新建议提出意见。CfC通常包括关于新提案的必要性、安全性、可能的用例、与现有标准中的算法相比如何等问题。

作为SP的结果,启动一个新的工作项目的决定由参加以下会议的专家做出,并由NB投票通过。

工作草图(WD)

一旦决定启动一个项目,一份工作草案将在负责该项目的工作组(WG)的相关专家之间传阅。项目编辑的角色是接收、解决和整合来自专家的评论,以建立共识。一份工作草案(WD)通常要经过多次修订,直到专家们同意它可以作为委员会草案(CD)进入委员会阶段。

委员会审议阶段(PDAM,建议修订拟稿)

委员会阶段是考虑国家统计局意见的主要阶段。一旦工作组专家认为提案草案已经足够成熟,可以进入委员会阶段,就会向所有被要求投票批准该草案的国家理事会发送选票。虽然全国人大有投票的义务,但全国人大决定投票的内部程序受其内部工作程序的制约。当新议员希望投票否决一项提案时,他们还必须提供理由。许多国家机构不具备评估它们收到的所有提案所需的专门知识,它们要么弃权,要么默认自动批准提案。

委员会阶段的目标是在有关国家机构之间达成协商一致意见。共识的定义见[217]和[295,第2.5.6节]:

共识:普遍的共识,其特点是有关利益的任何重要部分对实质性问题没有持续的反对意见,并通过寻求考虑所有有关各方的意见并协调任何相互冲突的论点的过程。

注意:一致意见并不意味着全体一致。..如对协商一致意见有疑问,以三分之二多数通过可被视为足以接受委员会草案作为调查草案登记;但是,应尽一切努力解决反对票。

进一步的阶段

在委员会阶段获得批准的一致同意的提案将经历更多阶段,直到最终公布。由于本章的主题Simon和Speck没有通过委员会阶段,我们在此不再解释进一步的阶段,有兴趣的读者请参考[295,第二节]。

4.5ISO/IEC 29192-2中Simon和Speck的标准化过程

Iso / iec 29192 [218]是由国际标准化组织(ISO)和国际电工委员会(IEC)联合技术委员会(JTC 1)管理的标准。该标准由第27小组委员会(SC 27)负责管理资讯及资讯科技保安.在SC 27中,标准由第二工作组(SC 27/WG 2)负责编辑密码和安全机制.ISO/IEC 29192本身是一个涉及多个方面的标准轻量级加密和第二部分讨论的块密码

Simon和Speck的标准化过程从一开始就不恰当。它涉及过早提交算法,指派Simon和Speck设计师作为项目编辑,使用错误的程序来推广算法,拒绝回应技术问题,以及对过程采取普遍敌对的方法。为了简洁起见,我们在续集中描述了从最初的研究阶段到项目最终取消的标准化过程的时间表。

墨西哥城,墨西哥(2014年10月)

将Simon和Speck纳入ISO/IEC 29192-2的想法在WG 2正式提出。研究期(SP)于2014年11月启动,并发出了为期18周的捐款呼吁。

马来西亚古晋(2015年4月)

研究期间的反应被记录下来。收到了4个国家的答复:两个国家支持标准化(俄罗斯和美国),两个国家反对(挪威和德国)。Doug Shors做了一个演示,讨论了国家统计局提交的评论。6

会议报告表明,对一些提交的意见进行了讨论,最终达成妥协,将研究期限延长了6个月,以要求对算法的安全性进行进一步的投入,同时还允许并行分发初步工作草案(PWD)。有趣的是,研究期间最关键的问题,问题1,“SIMON和SPECK是否应该包括在ISO/IEC 29192-2中?”在会议报告中没有提及,尽管一些国家统计局对此持否定态度。正是这份会议摘要,后来被编辑们用来论证将Simon和Speck纳入ISO/IEC 29192-2的决定已经做出,不能再提出异议。

新的《捐款呼吁》和《初步工作草案》分别于2015年5月和6月分发。在这一点上,新的CfC不再包括任何关于西蒙和斯佩克是否应该标准化的问题,这表明美国国家安全局那时已经决定以一种对抗这一过程的方式行事。

印度斋浦尔(2015年10月)

在上次会议之后,分发了扩大的中心问题报告,并发表了几位专家的评论。大约一半的专家评论说,西蒙和斯佩克的安全性还没有完全理解,需要更多的信息,最好是设计原理的形式。7

同时,还收到了对初步工作草案的两项答复,属于社论性质。Louis Wingers在发言中讨论了在研究期间提出的意见和关于初步工作草案的意见。在这次演讲中,温格斯认为,提供设计原理不是设计师的工作,而且两种算法的密码分析已经稳定下来,因此预计不会有新的结果发表。8

会议摘要中没有提到的是关于NSA过去参与破坏加密标准(例如Dual-EC)的讨论。美国国家安全局的一位专家Debby Wallner也参与了Dual-EC的标准化,他将其称为“房间里的大象”,并声称他们已经为此道歉,是时候继续前进了。9

在摘要中也没有反映的是,沃纳要求在会议期间进行国家层面的投票,以决定如何继续该项目。这一表决在ISO指令中没有任何依据,后来必须使用正确的程序予以批准。到那时,会议摘要已经指出,应结束研究期,并应分发第一份工作草案。

美国佛罗里达州坦帕(2016年4月)

Simon和Speck的工作草案(WD)于2015年11月发布,评议期为17周(至2016年3月)。除了评论之外,收到的评论清楚地表明,许多专家并不相信这些算法的安全性。专家们提出的另一个担忧是,许多专家不同意编辑们在草案中保留Simon和Speck变体的48位块大小的决定。

在他们的意见处理(DoC)中,编辑们拒绝解决专家们提出的安全问题,实际上是边缘化了大多数人的意见;引用他们答复的第一段:

已经决定启动包括SIMON和SPECK在内的这一修正案。

阅读了关于小块大小的评论,编辑们决定将讨论转移到他们自己的项目之外,并开始了另一个研究阶段(SP),处理更普遍的小块大小问题。

会议报告总结如下:

会议以决定如何前进而结束。为此,Debby Wallner(美国)要求进行意向性投票,以决定拟议修正案是否应提交第二份工作草案或进入投票阶段。对所有与会专家进行了询问,结果是16票赞成、8票弃权,赞成第二份工作草案。

这些数字,尤其是在初步阶段,表明算法没有得到标准化所需的广泛支持。不过,由于执行这些决定是编辑的责任,他们在会议结束时写道:

编辑现在将起草一份新的征求意见稿,其中将提出三项要求。首先,要求概述使用48位分组密码的安全问题。其次,对48位分组密码的潜在用例的请求。最后,请求更新SIMON和SPECK正在进行的安全评估。

阿联酋阿布扎比(2016年10月)

事实上,另一份工作草案于2016年6月散发,评议期为15周(至2016年9月)。令人惊讶的是,工作草案只包括关于区块大小和新的密码分析结果的问题,完全忽略了大多数专家所表达的不信任。因此,关于这一工作草案的评论仅限于所提出的问题,并仅涉及区块大小。

在他们的评论处置中,编辑们决定删除Simon和Speck的48位变体,并保留其他块大小。10他们还解决了所有编辑意见,并宣布已达成协商一致意见,草案已准备好进入委员会阶段。

汉密尔顿,新西兰(2017年4月)

Simon和Speck的第一个PDAM于2016年12月分发,要求在2017年2月之前发送投票和评论。投票结果显示,15个国家委员投票赞成该提案(一些委员提出了意见),8个国家委员投票反对,26个国家委员弃权。这一结果表明,算法不仅没有达成共识,甚至连66%的最小阈值都没有达到。

许多来自国家机构的评论将缺乏设计原理列为他们投反对票的一个因素。其他评论还提到,64位块密码对于一般攻击来说本质上是不安全的。11在他们的初步评论处置中,编辑们宣布他们将为算法提供一个设计原理:

编辑将提供文档,讨论SIMON和SPECK的设计原理和设计团队的安全性分析。

但编辑们拒绝回应关于小版面的评论。经过会议本身的激烈讨论,他们宣布他们将删除所有区块大小小于128位的Simon和Speck变体。

德国柏林(2017年10月)

所谓的设计原理与第二份PDAM一起分发,再次要求国家机构在8周内批准或不批准该项目。这一次的结果是,15个国家投票赞成该草案(一些国家附有评论),7个国家投票反对。这次投票虽然仍未达到协商一致,但至少达到了66%的阈值,使秘书处可以将此投票视为协商一致。

第二节分析了所谓的设计原理和由此产生的问题。4.3这些评论中的大多数也是作为国家机构(NBs)反对理由的一部分提交的。编辑们拒绝回应这些评论,并对NBs的评论提供了以下标准答案:

编辑们感到遗憾的是,[X国]认为没有为SIMON和SPECK提供足够的设计标准,以确定它们是否被纳入ISO/IEC 29192-2。SIMON和SPECK的编辑将不再提供进一步的设计原理。编辑们坚持他们的立场,即之前作为意见处理一部分引用的所有文件确实提供了足够的信息来确定SIMON和SPECK确实是安全的。

这次会议特别关注了如何为算法选择回合数。国安局的编辑们认为Tables4.3而且4.4这是误会吗

任何以英语为母语的人都能立即理解我们在设计原理中想要表达的内容。

当被要求为在场的非英语母语人士详细解释这一决定时,他们干脆拒绝了。此外,编辑们还拒绝回答向他们提出的下列两个问题:
  • 当美国国家安全局在2013年发布这些算法时,是否知道学术界后来发布的所有针对这些算法的攻击?

  • 除了学术界已经发现和公布的攻击之外,美国国家安全局是否知道其他的攻击?

他们拒绝回答这些问题,再加上设计原理的质量不足,足以证明“对实质性问题的持续反对”仍然存在,因此决定应该分发第三份PDAM。

中国武汉(2018年4月)

第三份PDAM于2017年12月分发,再次要求国家机构在8周内(至2018年2月)提供支持。这一次,14个国家投票赞成该草案(一些国家附有评论),8个国家投票反对。《意见处理》没有在会议前分发,只在会议上提供给与会者。项目编辑无法亲自参加会议,编辑会议通过Skype进行。在这一点上,很明显,编辑们已经放弃了达成一致意见。他们拒绝解决国家统计局提出的担忧,只是说他们要求分发第四份PDAM。对此,一些专家建议说,由于拒绝提供进一步的信息,很明显无法达成共识,因此应该取消该项目。

在讨论了作出这一决定的适当程序后,WG2召集人决定举行内部投票。每个参加会议的国家将对下列选项之一投一票:(1)取消该项目;(2)进行第4个PDAM;(3)弃权。在与会的16个国家中,8个国家投票取消该项目,4个国家投票转向第4个PDAM, 4个国家弃权。这一决定后来被WG2的上级委员会SC27批准。

取消的理由如下:

第二工作组(wg2)认为,修订中包含的两种算法的动机都不适当,其安全特性也没有得到充分理解。设计师试图发布一个设计原理(ePrint 2017/560),但不足以说服WG 2的专家。设计师们拒绝透露有关算法设计方式的更多信息。

似乎已经陷入僵局,修正案无法达到从PDAM阶段进入DAM阶段所需的66%多数票。这个问题似乎已经严重影响了ISO在媒体关注方面的声誉。它还对ISO内部工作的协作性质产生了不利影响,似乎围绕着这一点出现了两极分化,并溢出到其他项目上。因此,WG 2专家认为最好是取消这个项目,不要标准化这些算法。

WG 2希望传达的是,在ISO/IEC JTC 1/SC 27标准中不包含算法并不是关于算法的安全性或质量的声明,也不是关于设计师或编辑所做的工作的声明。由于从PDAM阶段向前推进的决定需要一致的决定(即使不是全体一致),这仅仅意味着鉴于现有的信息和关于算法安全性的反对意见,它们没有享受到纳入ISO/IEC JTC 1/SC 27标准所需的信心水平。

脚注

  1. 1

    作者作为ISO/IEC JTC 1/SC 27/WG 2专家一直积极参与围绕这个项目的讨论。这一章是他们个人经历的叙述。

  2. 2

    我们提醒读者,这些算法是在2013年6月发表的,也就是4年前。

  3. 3.

    设计师使用术语“路径”来代替更常见的术语“特征”和“路径”,我们将效仿。

  4. 4

    设计师使用的术语“多路径效应”也被称为“集群效应”、“差异效应”或“线性船体效应”。

  5. 5

    安全裕度是指可以被攻击的子弹数与实际子弹数之差。

  6. 6

    道格·肖尔斯和路易斯·翁格斯是西蒙和斯佩克设计团队的两名国安局雇员。他们被指派为本研究期间的共同报告员,后来又被指派为项目的共同编辑。

  7. 7

    这将是Simon和Speck标准化过程中反复出现的主题。

  8. 8

    这是Simon和Speck标准化的另一个反复出现的主题。美国国家安全局在每次会议上都提出了这一主张,但在下一次会议上总是被推翻。

  9. 9

    由于会议摘要中没有关于Dual-EC的讨论,在此根据记忆进行复述。

  10. 10

    由于这两种算法的效率是它的主要卖点,它总是相对于算法的较小变体而呈现,有趣的是,较小的变体如何慢慢地从拟议的标准中淘汰,只留下较大的变体,其效率从未被彻底讨论过,而且效果不如替代方案。

  11. 11

    Sweet32攻击[86]在这个时候出版,并成为国家统计局许多决定的一个因素。

参考文献

  1. 3.
    Mohamed Ahmed Abdelraheem, Javad Alizadeh, Hoda A. Alkhzaimi, Mohammad Reza Aref, Nasour Bagheri和Praveen Gauravaram。改进了约圆SIMON-32和SIMON-48的线性密码分析。密码学电子打印档案,报告2015/988,2015。http://eprint.iacr.org/2015/988
  2. 4.
    Mohamed Ahmed Abdelraheem, Javad Alizadeh, Hoda A. Alkhzaimi, Mohammad Reza Aref, Nasour Bagheri, Praveen Gauravaram和Martin M. Lauridsen。简化圆SIMON的改进线性密码分析。密码学ePrint档案,报告2014/681,2014。http://eprint.iacr.org/2014/681
  3. 5.
    Farzaneh Abed, Eik List, Stefan Lucks和Jakob Wenzel。斑点分组密码族的密码分析。密码学ePrint档案,报告2013/568,2013。http://eprint.iacr.org/2013/568
  4. 6.
    Farzaneh Abed, Eik List, Stefan Lucks和Jakob Wenzel。约简圆西蒙的微分和线性密码分析。密码学ePrint档案,报告2013/526,2013。http://eprint.iacr.org/2013/526
  5. 18.
    Javad Alizadeh, Nasour Bagheri, Praveen Gauravaram, Abhishek Kumar和Somitra Kumar Sanadhya。圆约简SIMON的线性密码分析。密码学ePrint档案,报告2013/663,2013。http://eprint.iacr.org/2013/663
  6. 19.
    Hoda A. Alkhzaimi和Martin M. Lauridsen。分组密码SIMON家族的密码分析。密码学ePrint档案,报告2013/543,2013。http://eprint.iacr.org/2013/543
  7. 28.
    Tomer Ashur和刘云文。存在常数的旋转密码分析。对称密码学汇刊浙江农业学报,2016(1):57-70,2016。http://tosc.iacr.org/index.php/ToSC/article/view/535CrossRef谷歌学者
  8. 64.
    Ray Beaulieu, Douglas Shors, Jason Smith, Stefan treatn - clark, Bryan Weeks和Louis Wingers。轻量级分组密码的SIMON和SPECK家族。密码学电子打印档案,报告2013/404,2013。http://eprint.iacr.org/2013/404
  9. 66.
    Ray Beaulieu, Douglas Shors, Jason Smith, Stefan treatn - clark, Bryan Weeks和Louis Wingers。SIMON和SPECK的设计和分析说明。密码学电子打印档案,报告2017/ 560,2017。http://eprint.iacr.org/2017/560
  10. 86.
    Karthikeyan Bhargavan和Gaëtan Leurent。关于64位块密码的实际安全性:基于TLS和OpenVPN的HTTP上的碰撞攻击。埃德加·r·魏普、斯特凡·卡曾贝塞尔、克里斯托弗·克鲁格尔、安德鲁·c·迈尔斯和夏伊·哈勒维,ACM CCS 16:第23届计算机与通信安全会议,第456-467页,奥地利维也纳,2016年10月24-28日。ACM出版社。谷歌学者
  11. 138.
    陈怀峰,王晓云。改进的线性船体攻击圆减西蒙与动态猜键技术。密码学ePrint档案,报告2015/666,2015。http://eprint.iacr.org/2015/666
  12. 183.
    Itai Dinur。圆减微斑的改进差分密码分析。密码学ePrint档案,报告2014/320,2014。http://eprint.iacr.org/2014/320
  13. 214.
    Niels Ferguson, Stefan Lucks, Bruce Schneier, Doug Whiting, Mihir Bellare, Tadayoshi Kohno, Jon Callas和Jesse Walker。skein哈希函数族(1.3版)。www.skein-hash.info网站/ /文件/ skein1.3.pdf违约, 2010年。
  14. 217.
    国际标准化组织。标准化和相关活动。一般词汇(iso/iec指南2), 2004。谷歌学者
  15. 218.
    国际标准化组织。信息技术。安全技术。轻量级密码学。第2部分:分组密码29192 - 2), 2012。谷歌学者
  16. 223.
    傅凯,王美琴,郭英华,孙思伟,胡磊。基于milp的微尘微分和线性轨迹自动搜索算法。编辑托马斯·佩林快速软件加密- FSE 2016,卷9783计算机科学课堂讲稿,页268-288,波鸿,德国,2016年3月20-23日。beplay登入施普林格。谷歌学者
  17. 295.
    ISO。Iso/iec指令,第1部分-综合jtc 1补充2017 - jtc 1特定程序。谷歌学者
  18. 296.
    ISO。Iso/iec指令,第2部分- Iso和iec文件的结构和起草的原则和规则(2018)。谷歌学者
  19. 376.
    刘云文,Glenn De Witte, Adrin Ranea和Tomer Ashur。减圆斑点的旋转异或密码分析。对称密码学汇刊中国农业科学,2017(3):24-36,2017年9月。CrossRef谷歌学者
  20. 377.
    刘云文,王庆菊,文森特·里吉曼。自动搜索线性轨迹在ARX与应用到SPECK和chaskey。Mark Manulis, Ahmad-Reza Sadeghi和Steve Schneider编辑,ACNS 16:第十四届国际应用密码学和网络安全会议,卷9696计算机科学课堂讲稿,第485-499页,英国吉尔福德,2016年6月19-22日。beplay登入施普林格。谷歌学者
  21. 444.
  22. 472.
    Christophe Petit和Jean-Jacques Quisquater。加密哈希函数和展开器图:故事结束了吗?在新的密码破译者——在大卫·卡恩85岁生日之际献给他的文章,第304-311页,2016。谷歌学者
  23. 490.
    乔可欣,胡磊,孙思伟。基于动态密钥猜测技术的simeck差分安全评估。密码学ePrint档案,报告2015/ 902,2015。http://eprint.iacr.org/2015/902
  24. 523.
    石丹平,胡磊,孙思伟,宋玲,乔可欣,马晓双。SIMON的圆形简化版本的改进线性(船体)密码分析。密码学ePrint档案,报告2014/973,2014。http://eprint.iacr.org/2014/973
  25. 537.
    宋玲,黄章杰,杨倩倩。ARX分组密码的自动微分分析及其在SPECK和LEA中的应用。约瑟夫·k·刘和罗恩·斯坦菲尔德编辑,ACISP 16:第21届澳大拉西亚信息安全和隐私会议,第二部分,卷9723计算机科学课堂讲稿,第379-394页,墨尔本,维多利亚州,澳大利亚,2016年7月4-6日。beplay登入施普林格。谷歌学者

版权信息

©作者2021

开放获取本章根据创作共用属性4.0国际许可协议(http://creativecommons.org/licenses/by/4.0/),允许以任何媒介或格式使用、分享、改编、分发和复制,只要您适当注明原作者和来源,提供创作共用许可的链接,并注明是否有更改。

本章中的图像或其他第三方材料包含在本章的创作共用许可中,除非在材料的信用额度中另有说明。如果材料未包含在章节的创作共用许可协议中,并且您的预期使用不被法定法规所允许或超出了允许的使用范围,您将需要直接获得版权所有者的许可。

作者及隶属关系

  1. 1.imec-COSICKU鲁汶鲁汶比利时
  2. 2.你埃因霍温埃因霍温荷兰

个性化推荐