CLEFIA

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

CLEFIA הוא צופן בלוקים קנייני במבנה פייסטל שפותח על ידי סוני להגנה על ניהול זכויות דיגיטלי[1]. שמו נגזר מהמילה הצרפתית Clef שפירושה "מפתח". הצופן מקבל בלוק קלט באורך 128 סיביות ומפתח הצפנה בשלושה אורכים אפשריים: 128, 192 או 256 סיביות ומחזיר בלוק מוצפן באורך 128 סיביות. CLEFIA הוצג לראשונה ב- FSE 2007, הוצע כמועמד לתקן הצפנה עבור ממשלת יפן ב-CRYPTREC-2013, נחשב בטוח לשימוש ומציג ביצועים 'סטייט אוף דה ארט' בקטגוריה של צפנים קלי משקל. CLEFIA מוגן בזכויות יוצרים והשימוש בו כרוך ברישיון. הוא נמנה עם הצפנים שתוקננו על ידי תקן איזו 29192-2 בקטגוריה צופן בלוקים קל משקל[2].

תיאור כללי[עריכת קוד מקור | עריכה]

לאורך השנים, מאז הופעת DES חלה התקדמות משמעותית בתחום הקריפטוגרפיה. בפרט, פותחו טכניקות חדשות לבנייה וניתוח של צפני בלוקים. IDEA, AES, MISTY וקמליה הם רק חלק מהדוגמאות לצפנים מודרניים שנהנו מפירות ההתקדמות הטכנולוגית. נושא מחקר חשוב הוא בקטגוריה של צפני בלוקים קלי משקל המיועדים לחומרה מוגבלת משאבים. CLEFIA הוא צופן בלוקים כזה, המבוסס על החידושים האחרונים, יעיל מאוד בתוכנה ובחומרה ונהנה מעמידות גבוהה נגד קריפטואנליזה מתקדמת.

CLEFIA הוא צופן בלוקים איטרטיבי במבנה של רשת פייסטל כללית בארבעה טורים ושתי פונקציות פנימיות המופעלות על 32 סיביות במספר סבבים. אחד מהחידושים בו הוא שהפונקציה הפנימית שלו מיישמת מנגנון פיזור מתחלף (בקיצור DSM), שתי מטריצות פיזור שונות ושתי תיבות החלפה בעלות תכונות אלגבריות שונות המופעלות לסירוגין, מניבות עמידות גבוהה במיוחד נגד קריפטואנליזה מודרנית. מסיבה זו מספר הסבבים של הצופן מופחת. חידוש אחר הוא תהליך הכנת תת-מפתחות קומפקטי ויעיל במבנה פייסטל.

CLEFIA הוא צופן מאוזן היטב הן מהיבט של יעילות והן מהיבט של ביטחון. הוא משיג ביצועים גבוהים בחומרה, תפוקה של 1.60 Gbps (גיגה-בתים לשנייה) בקירוב עם פחות מ-6000 שערים, עם ספריית CMOS ASIC . בתוכנה הוא מגיע ל-13 מחזורי שעון לבית (cpb) או 1.48 Gbps על מעבד AMD אתלון 64 ביט. הביצועים הגבוהים בחומרה מציבים אותו כמתחרה ראוי עבור חומרה מוגבלת משאבים כמו RFID או סנסורים אלחוטיים זעירים.

פירוט מהלכי הצופן[עריכת קוד מקור | עריכה]

שלד פונקציות ההצפנה והפענוח בנוי משלושה מהלכים. המהלך הראשון והאחרון הם פעולות הלבנה והמהלך האמצעי כולל קריאה לפונקציה פנימית המבצעת סבבים של פעולות החלפה ופיזור. מספר הסבבים משתנה בהתאם לאורך המפתח. עבור מפתח באורך 128 סיביות , עבור מפתח 192 סיביות ועבור מפתח 256 סיביות .

הצפנה[עריכת קוד מקור | עריכה]

  1. הלבנה:
  2. הצפנה:
  3. הלבנה:
:,
,
.

פענוח[עריכת קוד מקור | עריכה]

  1. הלבנה:
  2. פענוח:
  3. הלבנה:
:,
,
.

פונקציות עזר[עריכת קוד מקור | עריכה]

פונקציית ההצפנה הפנימית הנקראת (קיצור של רשת פייסטל כללית) בנויה בסגנון רשת פייסטל מסוג 2, כאשר נקרא ענף המייצג את מספר המילים שהפונקציה מקבלת ו- מייצג את מספר החזרות שהיא אמורה לבצע. פונקציית ההצפנה מנצלת שתי פונקציות פנימיות F0 ו-F1 המפורטות להלן שמקבלות קלט באורך 32 סיביות ומחזירות פלט באורך 32 סיביות. ביתר פירוט, הפונקציה מקבלת ארבע מילים באורך 32 סיביות כל אחת המסומנים וכן מפתחות סבבים באורך 32 סיביות כל אחד ומחזירה ארבע מילים . הסימן "" משמש להפרדה בין המילים. לדוגמה אם נבחר מפתח באורך 128 סיביות, מספר הסבבים הוא 18 ולכן מספר תת-המפתחות הוא .

תיאור הפונקציה הפנימית בשתי גרסאות שמבוצעת בתהליך ההצפנה ו- לצורך הכנת תת-המפתחות במקרה שנבחר מפתח 192 או 256:

,
,
,
,
,

לפונקציה קיימת פונקציה הופכית לצורך פענוח המסומנת . את פונקציית הפענוח הפנימית מכינים מפונקציית ההצפנה על ידי שינוי סדר מפתחות הסבבים מהסוף להתחלה וכן שינוי סדר ההחלפה בשלב 2.2 ל- וסדר ההחלפה בשלב 3 משתנה ל-.

הפונקציות ו- הן:

F0 F1
,
,
,
,

תיבות ההחלפה S0 ו-S1[עריכת קוד מקור | עריכה]

ישנם שני סוגי תיבות החלפה ב-CLEFIA האחד מבוסס על בחירה אקראית של ערכים עם תכונות סטטיסטיות טובות כמו ב-DES והשני מבוסס על פונקציה הופכית מעל השדה כמו ב-AES. הטבלאות הבאות מכילות את ערכי תיבות ההחלפה בבסיס הקסדצימלי כאשר עבור קלט בגודל בית אחד (8 סיביות), ארבע הסיביות המשמעותיות (הניבל העליון) משמשות כאינדקס לשורה המתאימה בטבלה ואילו ארבע הסיביות הפחות משעותיות (הניבל התחתון) משמשות כאינדקס לעמודה המתאימה:

S0 S1
   0  1  2  3  4  5  6  7  8  9  a  b  c  d  e  f
0. 57 49 d1 c6 2f 33 74 fb 95 6d 82 ea 0e b0 a8 1c
1. 28 d0 4b 92 5c ee 85 b1 c4 0a 76 3d 63 f9 17 af
2. bf a1 19 65 f7 7a 32 20 06 ce e4 83 9d 5b 4c d8
3. 42 5d 2e e8 d4 9b 0f 13 3c 89 67 c0 71 aa b6 f5
4. a4 be fd 8c 12 00 97 da 78 e1 cf 6b 39 43 55 26
5. 30 98 cc dd eb 54 b3 8f 4e 16 fa 22 a5 77 09 61
6. d6 2a 53 37 45 c1 6c ae ef 70 08 99 8b 1d f2 b4
7. e9 c7 9f 4a 31 25 fe 7c d3 a2 bd 56 14 88 60 0b
8. cd e2 34 50 9e dc 11 05 2b b7 a9 48 ff 66 8a 73
9. 03 75 86 f1 6a a7 40 c2 b9 2c db 1f 58 94 3e ed
a. fc 1b a0 04 b8 8d e6 59 62 93 35 7e ca 21 df 47
b. 15 f3 ba 7f a6 69 c8 4d 87 3b 9c 01 e0 de 24 52
c. 7b 0c 68 1e 80 b2 5a e7 ad d5 23 f4 46 3f 91 c9
d. 6e 84 72 bb 0d 18 d9 96 f0 5f 41 ac 27 c5 e3 3a
e. 81 6f 07 a3 79 f6 2d 38 1a 44 5e b5 d2 ec cb 90
f. 9a 36 e5 29 c3 4f ab 64 51 f8 10 d7 bc 02 7d 8e
   0  1  2  3  4  5  6  7  8  9  a  b  c  d  e  f
0. 6c da c3 e9 4e 9d 0a 3d b8 36 b4 38 13 34 0c d9
1. bf 74 94 8f b7 9c e5 dc 9e 07 49 4f 98 2c b0 93
2. 12 eb cd b3 92 e7 41 60 e3 21 27 3b e6 19 d2 0e
3. 91 11 c7 3f 2a 8e a1 bc 2b c8 c5 0f 5b f3 87 8b
4. fb f5 de 20 c6 a7 84 ce d8 65 51 c9 a4 ef 43 53
5. 25 5d 9b 31 e8 3e 0d d7 80 ff 69 8a ba 0b 73 5c
6. 6e 54 15 62 f6 35 30 52 a3 16 d3 28 32 fa aa 5e
7. cf ea ed 78 33 58 09 7b 63 c0 c1 46 1e df a9 99
8. 55 04 c4 86 39 77 82 ec 40 18 90 97 59 dd 83 1f
9. 9a 37 06 24 64 7c a5 56 48 08 85 d0 61 26 ca 6f
a. 7e 6a b6 71 a0 70 05 d1 45 8c 23 1c f0 ee 89 ad
b. 7a 4b c2 2f db 5a 4d 76 67 17 2d f4 cb b1 4a a8
c. b5 22 47 3a d5 10 4c 72 cc 00 f9 e0 fd e2 fe ae
d. f8 5f ab f1 1b 42 81 d6 be 44 29 a6 57 b9 af f2
e. d4 75 66 bb 68 9f 50 02 01 3c 7f 8d 1a 88 bd ac
f. f7 e4 79 96 a2 fc 6d b2 6b 03 e1 2e 7d 14 95 1d

את ההחלפה אפשר לבצע לפי הטלבאות האמורות או לחשבן תוך כדי ריצה במידה שהזיכרון מוגבל. שטח הזיכרון ששתי טבלאות מאכלסות הוא 512 בתים (4096 סיביות). את הכנת הטבלה S0 אפשר לבצע כך. מתחילים מטבלה המכילה 4 על 16 ערכים בגודל 4 סיביות (בסך הכול 256 סיביות):

x 0 1 2 3 4 5 6 7 8 9 a b c d e f
SS0(x) e 6 c a 8 7 2 f b 1 4 0 5 9 d 3
SS1(x) 6 4 0 d 2 b a 3 9 c e f 8 7 5 1
SS2(x) b 8 5 e a 6 4 c f 7 2 3 1 0 d 9
SS3(x) a 2 6 d 3 4 5 e 0 7 8 9 b f c 1

מחלקים את הקלט לשני חצאים באורך 4 סיביות כל אחד ומחשבים:

התוצאה היא .

את הטבלה S1 אפשר להכין על ידי הנוסחה הבאה: אם אז אחרת . הפונקציה ההופכית מבוצעת מעל השדה עם הפולינום הפרימיטיבי והפונקציות ו- הן טרנספורמציות אפיניות מעל (הכפלת וקטור הקלט במטריצה קבועה וחיבור עם וקטור קבוע):

f g

מטריצות הפיזור M0 ו-M1[עריכת קוד מקור | עריכה]

הכפל של המטריצה בוקטור הקלט מתבצע מודולו פולינום אי פריק (פולינום פרימיטיבי) מעל השדה ובבסיס הקסדצימלי הוא . דרך יעילה במחשב לבצע את הכפל היא רקורסיה של הכפלה בפולינום 'x' () ששקולה להזזה (shift) של הקלט שמאלה סיבית אחת בתנאי אחד; אם מתרחשת גלישה (אם הסיבית המשמעותית ביותר הייתה '1' לפני ההזזה) יש לבצע חיסור (XOR) עם הפולינום הפרימיטיבי האמור (נקרא צמצום מודולרי). אם נתונה פונקציה שמבצעת את הכפל האמור אז אפשר להכפיל את בכל מספר, למשל או . להסבר נוסף על אריתמטיקה של פולינומים מעל שדה בינארי מורחב ראה צופן ריינדל.

הכנת מפתחות הסבבים[עריכת קוד מקור | עריכה]

תהליך הכנת המפתחות תומך בשלושה מפתחות שונים: 128 סיביות, 192 סיביות או 256 סיביות. התהליך כולל הכנת מפתחות סבבים וארבעה מפתחות הלבנה . והוא כולל פונקציית החלפה הנקראת DoubleSwap המקבלת קלט באורך 128 סיביות ומבצעת החלפה של סיביות לפי הכלל הבא:

,

כאשר פירושו תת-מחרוזת של המתחילה בפוזיציה ומסתיימת בפוזיציה .

בנוסף תהליך ההכנה עושה שימוש ב- קבועים כאשר . מספר הקבועים הדרוש תלוי באורך המפתח שנבחר על ידי המשתמש. הקבועים הללו משמשים כמפתחות הצפנה לפונקציה או (המתוארת לעיל) כשהתוצאה מוצבת במערך זמני .

אם המפתח שנבחר על ידי המשתמש באורך 128 סיביות מבצעים כדלהלן:

להכנת מפתחות הסבבים במקרה של מפתח מאסטר 192 או 256, תחילה מכינים שני משתנים בהם מציבים את המפתח . לאחר מכן מחשבים שני משתנים נוספים על ידי הפונקציה . מתוך ארבעת המשתנים שהתקבלו מכינים את כל מפתחות הסבבים ואת כל מפתחות ההלבנה כדלקמן.

הכנת המשתנים מתוך עבור מפתח באורך סיביות כאשר או :

הרחבת המשתנים עבור מפתח באורך סיביות כאשר או :

הקבועים להכנת המפתחות[עריכת קוד מקור | עריכה]

הקבועים כאשר מכילים בסך הכול 60, 84 או 92 ערכים באורך 32 סיביות בהתאם לאורך המפתח. את הקבועים אפשר להכין בזמן ריצה או להשתמש בטלבאות מוכנות מראש אם זיכרון זמין.

להכנת הקבועים תחילה מציבים את , . אילו הם 16 הספרות הבינאריות הראשונות של חלק השבר של הלוגריתם הטבעי ופאי (בבסיס הקסדצימלי: בהתאמה). לאחר מכן מבצעים פעמים:

הסימן פירושו אופרטור השלילה. הכפל האחרון (שורה 2.3) מתבצע מעל השדה מודולו הפולינום האי פריק או . למשל . בפועל הכפל הזה מבוצע על ידי סדרה של ארבע הזזות ברמה של בתים ושני XOR בלבד. הפעולה מומחשת בפסאודו קוד הבא כאשר המשתנה המחולק לשני בתים מוכפל ב- מודולו :

וקטורי האתחול עבור כל המפתחות, מספר הקבועים ומספר הסבבים מוצגים בטבלה הבאה:

מפתח מספר הקבועים מספר הסבבים וקטור אתחול
128 60 30 0x428a
192 84 42 0x7137
256 92 46 0xb5c0

וקטורי האתחול הם 16 הספרות הבינאריות הראשונות של חלק השבר של שורש ממעלה שלישית של 2, 3 ו-5 בהתאמה.

ביטחון[עריכת קוד מקור | עריכה]

CLEFIA הוא צופן חדש יחסית עם מעט קריפטואנליזה ידועה. ההתקפה הטובה ביותר נגד הצופן היא התקפת "improbable differential"[3] שמצריכה טקסטים נבחרים נגד 13 סבבים בסיבוכיות של הצפנות עם מפתח 128 סיביות. התקפה דומה ישימה נגד הצופן עם 14 ו-15 סבבים עם מפתחות 192 ו-256 בהתאמה. התקפה נוספת היא התקפת "דיפרנציאלים בלתי אפשריים"[4] היעילה נגד CLEFIA-192/256 עם 11 סבבים בסיבוכיות של טקסטים נבחרים ו- הצפנות. נגד 12 סבבים של CLEFIA-128 ההתקפה מגיעה לסיבוכיות זמן ומקום של . ונגד CLEFIA-192/256 בסיבוכיות של עם 13 סבבים. עם 14 סבבים הסיבוכיות מגיעה ל- הצפנות. אילו בעיקרון התקפות תאורטיות שאינן מסכנות את השימוש באלגוריתם באופן מעשי.

ראו גם[עריכת קוד מקור | עריכה]


הערות שוליים[עריכת קוד מקור | עריכה]