У криптографії, S-скриня, S-блок (англ. Substitution-box, S-box) — це засаднича складова шифрування з симетричними ключами, яка виконує підстановки. По суті це звичайна таблиця підстановки. У блочних шифрах їх здебільшого використовують для приховування зв'язків між ключем і шифротекстом — властивість плутанини введена Шенноном.
Загалом, S-скриня приймає m біт на вхід і перетворює їх в n біт на виході, де n не завжди дорівнює m.m×n S-скриню можна втілити як таблицю пошуку з 2m слів n бітів кожне. Сталі таблиці звичайно використовуються в DES, але в деяких шифрах таблиці створюються динамічно як похідні від ключа (наприклад, алгоритми шифрування Blowfish і Twofish).[]
S-скрині в DES
Одним з добрих прикладів сталої таблиці є ця 6×4-бітів S-скриня з DES (S5):
S5 | Внутрішні 4 біти на вході | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
0000 | 0001 | 0010 | 0011 | 0100 | 0101 | 0110 | 0111 | 1000 | 1001 | 1010 | 1011 | 1100 | 1101 | 1110 | 1111 | ||
Зовнішні біти | 00 | 0010 | 1100 | 0100 | 0001 | 0111 | 1010 | 1011 | 0110 | 1000 | 0101 | 0011 | 1111 | 1101 | 0000 | 1110 | 1001 |
01 | 1110 | 1011 | 0010 | 1100 | 0100 | 0111 | 1101 | 0001 | 0101 | 0000 | 1111 | 1010 | 0011 | 1001 | 1000 | 0110 | |
10 | 0100 | 0010 | 0001 | 1011 | 1010 | 1101 | 0111 | 1000 | 1111 | 1001 | 1100 | 0101 | 0110 | 0011 | 0000 | 1110 | |
11 | 1011 | 1000 | 1100 | 0111 | 0001 | 1110 | 0010 | 1101 | 0110 | 1111 | 0000 | 1001 | 1010 | 0100 | 0101 | 0011 |
Дані 6 бітів на вході і 4-біти на виході знаходяться через вибір рядка використовуючи зовнішні два біти (перший і останній), а стовпчик знаходиться по чотирьох внутрішніх бітах. Наприклад, вхід "011011" має зовнішні "01" і внутрішні біти "1101"; відповідний вихід "1001".
У своїх коментарях NSA відзначило такі вимоги до дизайну S-скриньок:
- 1. Жодна S-скриня не є лінійною або афінною функцію від свого входу.
- 2. Зміна 1 входового біту має як наслідок зміну щонайменше 2 бітів на виході.
- 3. S(x) і S(x+001100) мусять різнитись не менш як двома бітами.
Наступні, NSA відзначила як «спричинені вимогами до дизайну»:
- 4. S(x) =/= S(x+11ab00) для будь-якого вибору a і b.
- 5. S-скрині обирали таким чином, щоб мінімізувати різницю між кількістю 1 і 0 у будь-якому виході S-скрині за умови сталості одного входового біту.
Інший наслідок умов дизайну зауважили Мейєр і Матяс:
- 6. Зумисно відібрані S-скриньки потребують для втілення значно більше мінтермів ніж довільно обрані.
Після винайдення диференціального криптоаналізу, Дон Копперсміт оприлюднив умови використані при розробці S-скриньок:
- Кожна S-скринька повинна мати 6 біт на вході і 4 на виході. (У 1974 це був найбільший розмір S-скриньки, який можна була використати так, щоб DES вписувався в один чип.)
- Жоден виходовий біт S-скриньки не повинен бути занадто близьким до лінійної функції від входових бітів. (S-скриньки єдина нелінійна складова DES. В їхній нелінійності полягає сила алгоритму.)
- Кожен «рядок» S-скриніьки повинен містити всі можливі виходи. (Це увипадковлює вихід.)
- Якщо два входи різняться одним бітом, їх виходи мають різнитись не менше ніж двома бітами.
- Якщо два входи S-скриньки різняться двома середніми бітами, їх виходи повинні різнитися щонайменше двома бітами. (Ця й попередня умови забезпечують певне поширення.)
- Якщо два входи S-скриньки різняться своїми першими двома бітами й мають однакові останні, виходи мають бути різними.
- Для будь-якої 6-бітної різниці між входами, не більше ніж 8 з 32 пар входів, що проявляють таку різницю, можуть проявлятись в такій самій різниці виходів.
Копперсміт зауважив, що кращою другою умовою була б:
- 2’. Жодна лінійна комбінація входових біт для S-скрині не має бути занадто близькою до лінійної функції від входових біт.
8 S-скриньок алгоритму DES були предметом наполегливих досліджень впродовж багатьох років, щоб перевірити, чи не залишили розробники .
Приклад невдалої S-скрині
Розглянемо:
або тотожно:
Тоді є лінійною функцією.
S-скриня в AES
S-скриня утворюється визначанням обернених елементів для входу в скінченне поле Rijndael (нуль,який не має оберненого, встановлюється в нуль). Обернений елемент потім піддається афінному перетворенню. Зворотна S-скриня є просто S-скриня запущена в протилежному напрямку. S-скриня працює як таблиця пошуку.
Примітки
- Chandrasekaran, J. та ін. (2011). A Chaos Based Approach for Improving Non Linearity in the S-Box Design of Symmetric Key Cryptosystems. У Meghanathan, N. та ін. (ред.). . Springer. с. 516. ISBN . Архів оригіналу за 11 травня 2016. Процитовано 4 травня 2012.
- C.H. Meyer, S.M. Matyas, Cryptography: A New Dimension in Data Security, John Wiley & Sons, New-York, 1982.
- Don Coppersmith, The Data Encryption Standard (DES) and its strength against attacks, Technical Report RC 18613, IBM T.J. Watson Center, December 1992.
- Don Coppersmith, The Data Encryption Standard (DES) and its strength against attacks, IBM Journal of Research and Development, Vol. 38, n. 3, pp. 243-250, May 1994.
Посилання
- A literature survey on S-Box design [ 14 квітня 2012 у Wayback Machine.]
- John Savard's "Questions of S-Box Design" [ 16 липня 2012 у Wayback Machine.]
- Gargiulo's "S-Box Modifications and Their Effect in DES-like Encryption Systems" [ 20 травня 2012 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
U kriptografiyi S skrinya S blok angl Substitution box S box ce zasadnicha skladova shifruvannya z simetrichnimi klyuchami yaka vikonuye pidstanovki Po suti ce zvichajna tablicya pidstanovki U blochnih shifrah yih zdebilshogo vikoristovuyut dlya prihovuvannya zv yazkiv mizh klyuchem i shifrotekstom vlastivist plutanini vvedena Shennonom Zagalom S skrinya prijmaye m bit na vhid i peretvoryuye yih v n bit na vihodi de n ne zavzhdi dorivnyuye m m n S skrinyu mozhna vtiliti yak tablicyu poshuku z 2m sliv n bitiv kozhne Stali tablici zvichajno vikoristovuyutsya v DES ale v deyakih shifrah tablici stvoryuyutsya dinamichno yak pohidni vid klyucha napriklad algoritmi shifruvannya Blowfish i Twofish dzherelo S skrini v DESOdnim z dobrih prikladiv staloyi tablici ye cya 6 4 bitiv S skrinya z DES S5 S5 Vnutrishni 4 biti na vhodi0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111Zovnishni biti 00 0010 1100 0100 0001 0111 1010 1011 0110 1000 0101 0011 1111 1101 0000 1110 100101 1110 1011 0010 1100 0100 0111 1101 0001 0101 0000 1111 1010 0011 1001 1000 011010 0100 0010 0001 1011 1010 1101 0111 1000 1111 1001 1100 0101 0110 0011 0000 111011 1011 1000 1100 0111 0001 1110 0010 1101 0110 1111 0000 1001 1010 0100 0101 0011 Dani 6 bitiv na vhodi i 4 biti na vihodi znahodyatsya cherez vibir ryadka vikoristovuyuchi zovnishni dva biti pershij i ostannij a stovpchik znahoditsya po chotiroh vnutrishnih bitah Napriklad vhid 011011 maye zovnishni 01 i vnutrishni biti 1101 vidpovidnij vihid 1001 U svoyih komentaryah NSA vidznachilo taki vimogi do dizajnu S skrinok 1 Zhodna S skrinya ne ye linijnoyu abo afinnoyu funkciyu vid svogo vhodu 2 Zmina 1 vhodovogo bitu maye yak naslidok zminu shonajmenshe 2 bitiv na vihodi 3 S x i S x 001100 musyat riznitis ne mensh yak dvoma bitami Nastupni NSA vidznachila yak sprichineni vimogami do dizajnu 4 S x S x 11ab00 dlya bud yakogo viboru a i b 5 S skrini obirali takim chinom shob minimizuvati riznicyu mizh kilkistyu 1 i 0 u bud yakomu vihodi S skrini za umovi stalosti odnogo vhodovogo bitu Inshij naslidok umov dizajnu zauvazhili Mejyer i Matyas 6 Zumisno vidibrani S skrinki potrebuyut dlya vtilennya znachno bilshe mintermiv nizh dovilno obrani Pislya vinajdennya diferencialnogo kriptoanalizu Don Koppersmit oprilyudniv umovi vikoristani pri rozrobci S skrinok Kozhna S skrinka povinna mati 6 bit na vhodi i 4 na vihodi U 1974 ce buv najbilshij rozmir S skrinki yakij mozhna bula vikoristati tak shob DES vpisuvavsya v odin chip Zhoden vihodovij bit S skrinki ne povinen buti zanadto blizkim do linijnoyi funkciyi vid vhodovih bitiv S skrinki yedina nelinijna skladova DES V yihnij nelinijnosti polyagaye sila algoritmu Kozhen ryadok S skriniki povinen mistiti vsi mozhlivi vihodi Ce uvipadkovlyuye vihid Yaksho dva vhodi riznyatsya odnim bitom yih vihodi mayut riznitis ne menshe nizh dvoma bitami Yaksho dva vhodi S skrinki riznyatsya dvoma serednimi bitami yih vihodi povinni riznitisya shonajmenshe dvoma bitami Cya j poperednya umovi zabezpechuyut pevne poshirennya Yaksho dva vhodi S skrinki riznyatsya svoyimi pershimi dvoma bitami j mayut odnakovi ostanni vihodi mayut buti riznimi Dlya bud yakoyi 6 bitnoyi riznici mizh vhodami ne bilshe nizh 8 z 32 par vhodiv sho proyavlyayut taku riznicyu mozhut proyavlyatis v takij samij riznici vihodiv Koppersmit zauvazhiv sho krashoyu drugoyu umovoyu bula b 2 Zhodna linijna kombinaciya vhodovih bit dlya S skrini ne maye buti zanadto blizkoyu do linijnoyi funkciyi vid vhodovih bit 8 S skrinok algoritmu DES buli predmetom napoleglivih doslidzhen vprodovzh bagatoh rokiv shob pereviriti chi ne zalishili rozrobniki Priklad nevdaloyi S skrini Rozglyanemo Si x1 x2 x6 x2 x3 x1 x4 x5 x1 x6 x2 x3 x6 displaystyle S i x 1 x 2 x 6 x 2 oplus x 3 x 1 oplus x 4 oplus x 5 x 1 oplus x 6 x 2 oplus x 3 oplus x 6 abo totozhno Si x Ai x mod2 displaystyle S i x A i cdot x pmod 2 011000100110100001011001 x1x2x3x4x5x6 x2 x3x1 x4 x5x1 x6x2 x3 x6 displaystyle begin pmatrix 0 amp 1 amp 1 amp 0 amp 0 amp 0 1 amp 0 amp 0 amp 1 amp 1 amp 0 1 amp 0 amp 0 amp 0 amp 0 amp 1 0 amp 1 amp 1 amp 0 amp 0 amp 1 end pmatrix times begin pmatrix x 1 x 2 x 3 x 4 x 5 x 6 end pmatrix begin pmatrix x 2 oplus x 3 x 1 oplus x 4 oplus x 5 x 1 oplus x 6 x 2 oplus x 3 oplus x 6 end pmatrix Todi Si displaystyle S i ye linijnoyu funkciyeyu S skrinya v AESS skrinya utvoryuyetsya viznachannyam obernenih elementiv dlya vhodu v GF 28 GF 2 x x8 x4 x3 x 1 displaystyle GF 2 8 GF 2 x x 8 x 4 x 3 x 1 skinchenne pole Rijndael nul yakij ne maye obernenogo vstanovlyuyetsya v nul Obernenij element potim piddayetsya afinnomu peretvorennyu Zvorotna S skrinya ye prosto S skrinya zapushena v protilezhnomu napryamku S skrinya pracyuye yak tablicya poshuku PrimitkiChandrasekaran J ta in 2011 A Chaos Based Approach for Improving Non Linearity in the S Box Design of Symmetric Key Cryptosystems U Meghanathan N ta in red Springer s 516 ISBN 9783642178771 Arhiv originalu za 11 travnya 2016 Procitovano 4 travnya 2012 C H Meyer S M Matyas Cryptography A New Dimension in Data Security John Wiley amp Sons New York 1982 Don Coppersmith The Data Encryption Standard DES and its strength against attacks Technical Report RC 18613 IBM T J Watson Center December 1992 Don Coppersmith The Data Encryption Standard DES and its strength against attacks IBM Journal of Research and Development Vol 38 n 3 pp 243 250 May 1994 PosilannyaA literature survey on S Box design 14 kvitnya 2012 u Wayback Machine John Savard s Questions of S Box Design 16 lipnya 2012 u Wayback Machine Gargiulo s S Box Modifications and Their Effect in DES like Encryption Systems 20 travnya 2012 u Wayback Machine