Феликс

Phelix — высокоскоростной потоковый шифр со встроенной функциональностью кода аутентификации сообщений с одним проходом (MAC), представленный в 2004 году на конкурс eSTREAM Дугом Уайтингом, Брюсом Шнайером , Стефаном Лаксом и Фредериком Мюллером. Шифр ​​использует только операции сложения по модулю 2 ³² , исключающее ИЛИ и поворот на фиксированное число бит. Phelix использует 256-битный ключ и 128-битный одноразовый номер , заявляя о прочности конструкции в 128 бит. Были высказаны опасения относительно возможности восстановления секретного ключа, если шифр используется неправильно.

Phelix оптимизирован для 32-битных платформ. Авторы утверждают, что он может достигать до восьми циклов на байт на современных процессорах на базе x86 .

Показатели производительности оборудования FPGA, опубликованные в статье «Обзор кандидатов на потоковые шифры с точки зрения аппаратного обеспечения с низкими ресурсами» ^{[ необходима ссылка ]} , следующие:

Phelix — это слегка измененная форма более раннего шифра Helix, опубликованного в 2003 году Нильсом Фергюсоном , Дугом Уайтингом, Брюсом Шнайером , Джоном Келси , Стефаном Лаксом и Тадаёси Коно ; Phelix добавляет 128 бит к внутреннему состоянию.

В 2004 году Фредерик Мюллер опубликовал две атаки на Helix. ^[1] Первая имеет сложность 2 ⁸⁸ и требует 2 ¹² адаптивных слов выбранного открытого текста , но требует повторного использования одноразовых символов. Позже Соурадьюти Пол и Барт Пренил показали, что количество адаптивных слов выбранного открытого текста атаки Мюллера может быть уменьшено в 3 раза в худшем случае (в 46,5 раза в лучшем случае) с помощью их оптимальных алгоритмов для решения дифференциальных уравнений сложения . В более поздней разработке Соурадьюти Пол и Барт Пренил показали, что вышеуказанная атака также может быть реализована с выбранными открытыми текстами (CP), а не с адаптивными выбранными открытыми текстами (ACP) со сложностью данных 2 ^35,64 CP. Вторая атака Мюллера на Helix является отличительной атакой , которая требует 2 ¹¹⁴ слов выбранного открытого текста.

Дизайн Феликса во многом был вдохновлен дифференциальной атакой Мюллера.

Phelix был выбран в качестве кандидата на 2-ю фазу фокусировки как для Профиля 1, так и для Профиля 2 проектом eSTREAM . Авторы Phelix классифицируют шифр как экспериментальную разработку в его спецификациях. Авторы рекомендуют не использовать Phelix, пока он не получит дополнительный криптоанализ. Phelix не был продвинут ^[2] до 3-й фазы, в основном из-за атаки восстановления ключа Ву и Пренеля ^[3], описанной ниже, которая становится возможной, когда нарушается запрет на повторное использование одноразового номера.

Первая криптоаналитическая статья о Phelix была атакой с выбором ключа , опубликованной в октябре 2006 года. ^[4] Дуг Уайтинг рассмотрел атаку и отметил, что, хотя статья и умная, атака, к сожалению, основана на неверных предположениях относительно инициализации шифра Phelix. Впоследствии эта статья была отозвана ее авторами.

Вторая криптоаналитическая статья о Phelix под названием «Дифференциальные атаки против Phelix» была опубликована 26 ноября 2006 года Хонгжуном Ву и Бартом Пренелем . Статья основана на тех же предположениях об атаках, что и дифференциальная атака против Helix. В статье показано, что если шифр используется неправильно (повторное использование одноразовых кодов), ключ Phelix может быть восстановлен примерно за 2 ³⁷ операций, 2 ³⁴ выбранных одноразовых кодов и 2 ^38,2 выбранных слов открытого текста. Вычислительная сложность атаки намного меньше, чем у атаки против Helix.

Авторы дифференциальной атаки выражают обеспокоенность тем, что каждое слово открытого текста влияет на поток ключей , не проходя через (то, что они считают) достаточные слои путаницы и диффузии. Они утверждают, что это внутренняя слабость в структуре Helix и Phelix. Авторы приходят к выводу, что считают Phelix небезопасным.

• Д. Уайтинг, Б. Шнайер, С. Лакс и Ф. Мюллер, Phelix: Быстрое шифрование и аутентификация в одном криптографическом примитиве (включая исходный код)
• T. Good, W. Chelton, M. Benaissa: Обзор кандидатов на потоковый шифр с точки зрения аппаратных ресурсов с низкими требованиями (PDF)
• Ясер Эсмаили Салехани, Хади Ахмади: Отличительная атака на Феликса с помощью выбранного ключа, представлено в eSTREAM [отозвано 14 октября 2006 г.]
• Нильс Фергюсон, Дуг Уайтинг, Брюс Шнайер, Джон Келси, Стефан Лакс и Тадаёши Коно, Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве, Быстрое программное шифрование - FSE 2003, стр. 330–346.
• Фредерик Мюллер, Дифференциальные атаки на шифр Helix Stream, FSE 2004, стр. 94–108.
• Сорадьюти Пол и Барт Пренель , Решение систем дифференциальных уравнений сложения, ACISP 2005. Полная версия
• Сорадьюти Пол и Барт Пренил , Почти оптимальные алгоритмы решения дифференциальных уравнений сложения с помощью пакетных запросов, Indocrypt 2005. Полная версия

• Страница eStream на Phelix
• «Дифференциальные атаки против Феликса» Хонгджуна Ву и Барта Пренела
• «Дифференциальные атаки на шифр Helix Stream» Фредерика Мюллера