Nghiên cứu xây dựng các thành phần mật mã cho thuật toán mã khối hạng nhẹ tt

Xây dựng thành phần tuyến tính với ma trận biểu diễn kích thước 4×4 trên trường  có tính chất MDS phù hợp cho các thuật toán 2 4 mã khối sử dụng trong môi trường có tài nguyên hạn chế..

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

-

NGUYỄN BÙI CƯƠNG

NGHIÊN CỨU XÂY DỰNG CÁC THÀNH PHẦN MẬT MÃ CHO THUẬT TOÁN MÃ KHỐI HẠNG NHẸ

Chuyên ngành: Cơ sở toán học cho tin học

TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC

HÀ NỘI – 2018

Công trình được hoàn thành tại:

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

Học viện Kỹ thuật Quân sự

Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Viện họp tại Viện KH&CN quân sự vào hồi … ngày … tháng … năm

Có thể tìm hiểu luận án tại thư viện:

- Thư viện Viện KH&CN quân sự

- Thư viện Quốc gia Việt nam

MỞ ĐẦU

1 Tính cấp thiết

Nhu cầu sử dụng ngày càng nhiều các thiết bị có kích cỡ nhỏ, khả năng tính toán thấp, phục vụ cho những công việc/bài toán chuyên dụng Trong khi, các mã khối truyền thống khó có thể sử dụng đa năng cho mọi kiểu thiết bị được Vì vậy nhu cầu cần có các hệ mã (mã khóa công khai, mã khối, mã dòng, hàm băm, ) riêng sử dụng cho các thiết

bị/hệ thống bị hạn chế (và thông tin cần phải bảo vệ không quá mật) đã

và đang được đặt ra trong những năm qua Hiện nay, trên thế giới đã có nhiều mã khối hạng nhẹ với các thiết kế khác nhau đã được đề xuất như Skipjack, NOEKEON, mCrypton, DESL, DESX, DESXL; PRESENT, KATAN và KATANTAN; Hummingbird, LED, TWIS, PICCOLO, Năm 2012, hai mã khối hạng nhẹ PRESENT và CLEFIA chính thức

được chọn là chuẩn mã khối hạng nhẹ ISO/IEC 29192-2:2012

Xây dựng một thuật toán mã khối hạng nhẹ mà luận án hướng tới theo nghĩa thiết kế một hệ mật không quá yếu (và không thay thế các thuật toán mã truyền thống khác), nhưng phải đủ an toàn (tất nhiên không thể kháng lại được các đối phương có đủ mọi điều kiện), chi phí (cài đặt, sản xuất) thấp Tóm lại, ta cần có một hệ mật cân bằng giữa yêu

tố chi phí, hiệu suất và độ an toàn để đạt được mục đích phù hợp một cách tốt nhất cho thiết bị có tài nguyên hạn chế Do đó, các thành phần mật mã sử dụng trong mã khối hạng nhẹ thực sự đòi hỏi những yêu cầu

an toàn đặc biệt và phải xem xét đánh giá kỹ lưỡng theo những tiêu chí

mà người thiết kế hướng tới

2 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của Luận án: Luận án tập trung vào hai

đối tượng nghiên cứu đóng vai trò quan trọng trong xây dựng một thuật

toán mã khối là:

- Các S-hộp đóng vai trò xáo trộn trong thuật toán

- Tầng tuyến tính sử dụng ma trận có tính chất MDS đóng vai trò khuếch tán trong thuật toán

Phạm vi nghiên cứu của Luận án: Luận án thực hiện trong phạm

vi nghiên cứu các thuật toán mã khối hạng nhẹ phù hợp cho các thiết bị

có tài nguyên hạn chế

3 Mục tiêu nghiên cứu

Xây dựng thành phần phi tuyến S-hộp 4-bit cho các thuật toán

mã khối hạng nhẹ

Xây dựng thành phần tuyến tính với ma trận biểu diễn kích thước 4×4 trên trường  có tính chất MDS phù hợp cho các thuật toán 2 4

mã khối sử dụng trong môi trường có tài nguyên hạn chế

4 Phương pháp nghiên cứu

Các phương pháp nghiên cứu sử dụng trong luận án gồm phân tích và tổng hợp các kết quả đã có trên thế giới, xin ý kiến các chuyên gia trong cùng lĩnh vực hẹp, mở rộng và phát triển các kết quả đã có cho bài toán của luận án, sử dụng ngôn ngữ lập trình C để nhận các kết quả thực nghiệm Các phương pháp thu thập số liệu gồm thu thập số liệu bằng cách tham khảo tài liệu, thu thập số liệu từ những thực nghiệm

5 Nội dung nghiên cứu

Nghiên cứu tổng quan nhu cầu sử dụng của thuật toán mật mã hạng nhẹ và khái lược các nội dung cần nghiên cứu

Nghiên cứu đảm bảo cơ sở toán học cho việc sinh các S-hộp 4 bit có tính chất mật mã tốt Một số nghiên cứu về S-hộp 4 bit cho độ an toàn cài đặt của mã pháp dạng SPN Phân tích sự ảnh hưởng của độ dư thừa tuyến tính của S-hộp trong mã pháp dạng SPN

Nghiên cứu đánh giá độ an toàn của mô hình mã pháp dạng AES

có kích cỡ khối 64-bit sử dụng phép biến đổi TranCells Xây dựng các

ma trận MDS có kích thước 4×4 trên trường có tính chất MDS theo

một số cách tiếp cận được đề xuất gần đây

6 Ý nghĩa khoa học và thực tiễn

Ý nghĩa khoa học:

Nghiên cứu chuyên sâu và có hệ thống về một số tiêu chí an toàn cho các S-hộp 4 bit Phân tích rõ cơ sở đánh giá và xây dựng các S-hộp thỏa mãn các tiêu chí này Đưa ra một số kết quả lý thuyết mới cho việc đánh giá độ an toàn và lập trình thực nghiệm lại các kết quả nhận được

Nghiên cứu phân tích chi tiết mô hình tầng tuyến tính dạng AES dựa trên ma trận MDS có kích thước 4×4 trên trường Đưa ra một số kết quả mới cho việc đánh giá an toàn của các ma trận này và xây dựng các ma trận MDS cho mô hình này theo một số phương pháp gần đây

Ý nghĩa thực tiễn: Đáp ứng nhu cầu bảo mật thông tin trong môi

trường có tài nguyên hạn chế trong các lĩnh vực kinh tế xã hội và an ninh quốc phòng

7 Bố cục của luận án

Luận án gồm 03 chương cùng với các phần mở đầu, kết luận, danh mục các công trình, bài báo khoa học đã được công bố của tác giả

và phần phụ lục

CHƯƠNG 1 TỔNG QUAN VỀ THUẬT TOÁN MÃ KHỐI HẠNG NHẸ 1.1 Tổng quan về nguyên lý thiết kế mã khối

Phần này trình bày sơ lược về một số cấu trúc mã khối và các thành phần mật mã của một mã khối cụ thể là S-hộp và tầng tuyến tính

1.2 Phân tích một số đặc điểm của thuật toán mã khối hạng nhẹ

Xu thế và sự bùng nổ của tính toán khắp nơi (UbiComp) đã được ứng dụng và sử dụng phổ biến trong xã hội hiện đại

1.2.1 Động lực thúc đẩy sự phát triển của mã khối hạng nhẹ

Bên cạnh các lợi ích của UbiComp đem lại cũng có nhiều rủi ro vốn có sẵn trong các tính toán phổ thông như có nhiều ứng dụng có tính nhạy cảm cần phải có giải pháp mật mã đảm bảo an toàn như mạng cảm biến không dây cho quân sự, ứng dụng tài chính hoặc ứng dụng tự động

1.2.2 Các yêu cầu trong thiết kế mã khối hạng nhẹ

Trong thiết kế và đánh giá một hệ mã hạng nhẹ ta cần phải xem xét hai yêu cầu quan trọng độ an toàn và hiệu quả trong cài đặt

1.2.3 Chiến lược thiết kế mã khối hạng nhẹ

Mọi nhà thiết kế mã khối hạng nhẹ đều phải tập trung cân bằng giữa độ an toàn, chi phí cài đặt và hiệu suất

Hình 1.1 Sự thỏa hiệp trong thiết kế mã khối hạng nhẹ

Nói chung, có ba cách tiếp cận để đưa ra một nguyên thủy mật mã

cho các ứng dụng hạng nhẹ như các thẻ RFID như sau: tối ưu hóa các cài đặt cho các thuật toán được tin cậy và đã được chuẩn hóa, thay đổi một chút với một mã pháp đã được tin cậy và đã được nghiên cứu, thiết kế các mã pháp mới với mục tiêu chi phí cài đặt phần cứng thấp

1.3 Tình hình nghiên cứu trong và ngoài nước

1.3.1 Tình hình nghiên cứu ngoài nước

Để xây dựng được một mã khối hạng nhẹ hiệu quả và đủ an toàn thì bài toán nghiên cứu xây dựng thành phần mật mã như S-hộp và tầng tuyến tính là cấp thiết Gần đây, các nhà thiết kế mã khối trên thế giới đã đưa ra nhiều phương pháp và kết quả lý thuyết lẫn thực hành để giải quyết bài toán này, cụ thể là hàng loạt công trình về xây dựng S-hộp 4 bit và tầng tuyến tính dựa trên ma trận MDS

1.3.2 Tình hình nghiên cứu trong nước

Các kết quả về xây dựng các thành phần cho mã khối trong nước còn hạn chế Chủ yếu tập trung cho các mã khối có độ mật cao không phù hợp với các thiết bị có tài nguyên hạn chế

1.4 Khái lược về nội dung nghiên cứu

Trong phần này, luận án khái lược về mô hình mã pháp có cấu trúc SPN dạng AES, tầng phi tuyến sử dụng các S-hộp 4 bit, tầng tuyến tính dựa trên các ma trận MDS

CHƯƠNG 2 NGHIÊN CỨU XÂY DỰNG CÁC HỘP THẾ 4 BIT

CHO MÃ KHỐI HẠNG NHẸ 2.1 Cơ sở sinh cho việc sinh các S-hộp có tính chất mật mã tốt

Đầu tiên, các ký hiệu và một số khái niệm sử dụng trong luận án được trình bày Sau đó, luận án trình bày các quan hệ tương đương được sử dụng trong khảo sát các S-hộp, cụ thể là quan hệ tương đương affine tương đương tuyến tính, quan hệ tương đương hoán vị, Cuối cùng, các

tính chất mật mã quan trọng của S-hộp S được định nghĩa là bậc tuyến tính Lin(S), đặc trưng lượng sai Diff(S), bậc đại số deg(S), bậc vào\ra

degIO(S), bậc trong suốt , độ dư thừa tuyến tính và một số tính chất khác

(số nhánh, điểm bất động, tính chất cuộn)

2.2 Phân tích một số kết quả nghiên cứu đã có cho S-hộp 4 bit

2.2.1 Các S-hộp 4 bit tối ưu chống lại thám mã lượng sai và tuyến tính

Phần này, luận án phân tích về cận dưới của Lin(S), Diff(S) với S là

một S-hộp 4 bit bất kì nhằm đưa ra được các giá trị tối ưu cho khả năng chống lại thám mã tuyến tính và lượng sai cho các S-hộp này, các kết quả này đã có song chưa được chi tiết, cụ thể bậc phi tuyến của một S-

hộp 4 bit song ánh sẽ thỏa mãn Lin(S)8 (Mệnh đề 2.3), còn đối với đặc trưng lượng sai thỏa mãn Diff(S)  4 (Nhận xét 2.2) với mọi S-hộp 4 bit

Như vậy, các S-hộp 4 bit có các giá trị tối ưu nhất để chống lại tấn công tuyến tính sẽ được định nghĩa như sau:

Định nghĩa 2.14 Giả sử S: 2424 là một S-hộp Nếu S thỏa mãn các

điều kiện sau thì ta gọi S là một S-hộp tối ưu chống lại thám mã tuyến tính và lượng sai: 1 S là một song ánh 2 Lin(S) = 8 3 Diff(S) = 4

Ta có:

Mệnh đề 2.6 Giả sử A, B  GL(4, 2) là 2 ma trận khả nghịch 44 và

a,b24 Giả sử S: 2424 là một S-hộp tối ưu chống lại thám mã

tuyến tính và lượng sai Khi đó, S-hộp S’ với S’(x)=B(S(A(x)a)b cũng

là một S-hộp tối ưu chống lại thám mã tuyến tính và lượng sai

Mệnh đề 2.7 Giả sử S: 2424, S là tối ưu chống lại thám mã tuyến

tính và lượng sai khi và chỉ khi S-1 là tối ưu chống lại thám mã tuyến tính

và lượng sai

Bằng thực hành, luận án đã nhận được 16 lớp tương đương affine cho các S-hộp tối ưu chống lại thám mã tuyến tính và lượng sai, giống như các kết quả đã có

2.2.2 Tính Serpent của S-hộp 4 bit

Ngoài các tính chất Diff(S)=4 và Lin(S)=8 ra, ta xem xét một tính chất

quan trọng có trong các S-hộp của thuật toán Serpent

Định nghĩa 2.15 Giả sử S:  24 4

2

 là một S-hộp Nếu S thỏa mãn các điều kiện sau ta gọi S là một S-hộp kiểu Serpent

1 S là tối ưu chống lại thám mã tuyến tính và lượng sai

2 Diff1(S) = 0, tức là sai khác đầu vào 1 bit bất kỳ gây ra sai khác

Để khảo sát giá trị này, ta sử dụng quan hệ tương đương hoán vị Khi

đó, phép tương đương hoán vị bảo toàn tính chất kiểu Serpent của S-hộp

4 bit (Bổ đề 2.2), số nhánh (Bổ đề 2.3), quan hệ nghịch đảo (Bổ đề 2.4), tính chất không cuộn của các S-hộp kiểu Serpent (Hệ quả 2.1) Để thực hành phân lớp các S-hộp dạng này, luận án sử dụng thuật toán 2 và nhận được 2.211.840 S-hộp Serpent được phân theo 20 lớp tương đương hoán

vị

2.2.3 Các S-hộp 4 bit tối ưu có tính chất cuộn

Một số kết quả đánh giá tính tối ưu chống lại thám mã lượng sai và tuyến tính trong bài báo [45] được giới thiệu; cụ thể là không có S-hộp kiểu Serpent nào có tính chất cuộn và khi có số điểm bất động lớn hơn 5 thì S-hộp có tính chất cuộn sẽ không đạt được tính tối ưu Sau đó, luận án cũng đã thực hành sinh các S-hộp 4 bit có tính chất cuộn theo các kết quả

nghiên cứu trong bài báo [45]

2.3 Các kết quả phát triển mới trong luận án

2.3.1 Một số đặc trưng đại số của S-hộp 4-bit

Luận án trình bày một số kết quả liên quan tới hai đại lượng bậc đại số

deg(S) và bậc vào ra degIO(S) của một S-hộp Đầu tiên, số lượng các

phương trình vào/ra của một S-hộp được đánh giá thông qua kết quả sau:

Hệ quả 2.2 Cho một S-hộp bất kì có kích thước n×m, khi đó số lượng

các phương trình đa biến độc lập tuyến tính có bậc không quá d từ m+n

Tiếp theo, luận án xem xét một số tính chất đại số của các S-hộp kích

thước nm đối với quan hệ tương đương affine như sau:

Bổ đề 2.7 Cho f là hàm Bool n biến, A là ma trận tuyến tính khả nghịch

kích cỡ nn trên trường F2, còn b2n Khi đó, ta có:

deg f(x) = deg f(Ax  b)

Mệnh đề 2.10 Bậc đại số của một S-hộp là bất biến đối với quan hệ

tương đương affine Hơn nữa, tập đa giá trị (multiset) D={deg(Sc )|c2m

} cũng bất biến khi chịu tác động của phép biến đổi affine

Mệnh đề 2.11 Bậc vào/ra của một S-hộp là bất biến dưới quan hệ tương

đương affine Tức là, degIOS1 = degIOS2 với S1 tương đương affine với S2

Hơn nữa, số lượng các phương trình vào/ra độc lập tuyến tính cũng bất biến qua quan hệ tương đương affine

Mệnh đề 2.12 Nếu S: 2n2n là song ánh thì degIO(S) = degIO(S-1)

Hơn nữa, số lượng các phương trình vào/ra độc lập tuyến tính là không đổi

Đối với các S-hộp 4-bit, ta có :

Nhận xét 2.4 Số lượng các phương trình vào/ra bậc hai độc lập tuyến

tính của S-hộp 4 bit bất kỳ ít nhất bằng 21 Như vậy, đối với các S-hộp này, bậc vào\ra của chúng lớn nhất là bằng 2, tức là degIOS  2

Tiếp theo, bậc vào/ra của 16 lớp S-hộp được xem xét trên dựa theo kết

quả lý thuyết sau:

Bổ đề 2.9 Bậc vào/ra của S-hộp 4 bit tối ưu ít nhất bằng 2

Hệ quả 2.5 Cả 16 lớp S-hộp 4 bit tối ưu chống thám mã lượng sai và

tuyến tính có bậc vào/ra là 2 và số lượng các phương trình vào/ra bậc hai độc lập tuyến tính đạt giá trị tối ưu, tức là bằng 21

2.3.2 Khảo sát bậc trong suốt của các S-hộp 4-bit kiểu Serpent

Trong phần này, luận án trình bày một số kết quả nghiên cứu về bậc trong suốt, là đại lượng định lượng cho khả năng chống lại tấn công DPA đối với mã pháp dạng SPN Đầu tiên, chúng ta có kết quả mở rộng sau,

Bổ đề 2.10 Đối với các S-hộp có phổ tự tương quan của hàm thành phần

β {0, 2 n-1}, tức là   0  2n1

S-hộp S2 tương đương hoán vị với S1 Khi đó,

1 S-hộp S 2 cũng thỏa mãn điều kiện phổ tương quan của các hàm thành phần S2

Bậc trong suốt

2.3.3 Một số nghiên cứu về độ dư thừa tuyến tính

Trong phần này, một số nghiên cứu về độ dư thừa tuyến tính của S-hộp

và sự ảnh hưởng của nó lên hàm vòng được trình bày

Mệnh đề 2.14 Cho hai hộp thế tương đương affine S 1 , S 2 có kích thước n×n bit Khi đó,  S1  S2

Như vậy, các S-hộp trong cũng một lớp tương đương affine sẽ cùng có độ dư thừa tuyến tính Khảo sát cho 16 lớp tương đương affine tối ưu chống thám mã tuyến tính và lượng sai của S-hộp 4 bit, ta nhận được kết quả sau:

Bảng 2.4: Độ dư thừa tuyến tính của 16 lớp S-hộp 4 bit tối ưu

LS1 0123469A8BCE7FD5 69 LS9 0123469A8BCEF75D 83 LS2 0123469A8BCED57F 85 LS10 0123469A85CEBDF7 92 LS3 0123469A8BCE5DF7 85 LS11 0123469C85DAE7BF 92 LS4 0123469A8CBD7EF5 105 LS12 0123469C85FDB7AE 105 LS5 0123469A8C5D7EFB 105 LS13 0123469A8C5DBEF7 105 LS6 0123469A8CBDE57F 105 LS14 0123469A85CE7DFB 34 LS7 0123469A8CBD5FE7 105 LS15 0123469A85CFDBE7 100 LS8 0123469C85BFED7A 105 LS16 0123469A85CE7FDB 100

Xuất phát từ các kết quả về độ dư thừa tuyến tính của S-hộp sử dụng trong hàm vòng dạng SPN, luận án đưa ra một số phân tích tính tương đương affine của các hàm Bool là tổ hợp tuyến tính của các hàm tọa độ đầu ra của hàm vòng dạng SPN

Với hàm vòng dạng SPN sử dụng hộp thế sở hữu độ dư thừa tuyến tính hoàn toàn, ta có kết quả sau:

Mệnh đề 2.15 Tất cả hàm tọa độ của hàm vòng SPN khi sử dụng các

hộp thế có độ dư thừa tuyến tính hoàn toàn đều thuộc cùng một lớp tương đương affine Hơn nữa, tổ hợp tuyến tính của chúng cũng cùng thuộc một lớp tương đương affine đó

Tiếp theo, chúng ta sẽ xem xét trường hợp S-hộp chỉ sở hữu một số cặp hàm Bool thành phần là tương đương affine Ta có thuật toán xác định 3

Như vậy, luận án đã chỉ ra sự ảnh hưởng của độ dư thừa tuyến tính của S-hộp lên tính tương đương affine của các hàm tọa độ đầu ra của hàm vòng của các mã pháp dạng SPN Với việc sử dụng các hộp thế có

độ dư thừa hoàn toàn sẽ khiến cho các hàm Bool tọa độ đầu ra cũng như

tổ hợp tuyến tính của chúng đều thuộc cùng một lớp tương đương affine Còn trong trường hợp các hộp thế có độ dư thừa tuyến tính với số lượng lớn các hàm thành phần tương đương affine thì khả năng cao chúng ta sẽ

chỉ ra tồn tại và xác định được hàm tọa độ đầu ra tương đương affine Do

đó, khi xây dựng một mã pháp an toàn người thiết kế nên quan tâm đến

độ dư thừa tuyến tính và có thể xem xét nó như là một tiêu chí cho việc sinh các hộp thế có tính chất mật mã tốt

Thuật toán 3: Kiểm tra tính tương đương affine của hai hàm tọa độ

trong hàm vòng SPN

Đầu vào: Chỉ số t, t’ của hai hàm tọa độ với t t, ' 1, , m

Đầu ra: Trả về 1 khi tương đương cùng với tập D = {D1, , D k , a = {a1, ,a k }, b = {b1, ,b k }, c}; ngược lại trả về 0 khi không tương đương

Các bước của thuật toán:

2.1.1 D i  D temp ; a i  a temp ; b i  b temp ; c i  cc temp;

( D temp , a temp , b temp , c temp đầu ra của thuật toán 1 với đầu vào là hai hàm Bool Tr  / 1,  

2.3.4 Kết quả mở rộng cho việc phân loại các S-hộp 4 bit bất kỳ

Mệnh đề 2.16 Mọi lớp tương đương affine trên 2n luôn tồn tại một hộp thế S thỏa mãn S(i) = i với i∈2 |j j0,n1 0

Dựa vào kết quả trên, ta có thể thực hiện phân lớp tất cả các hộp

thế n bit bất kỳ trên tập các hộp thế thỏa mãn S i( ) i với