Phelix
| Allmän | |
|---|---|
| Designers | Doug Whiting, Bruce Schneier , Stefan Lucks och Frédéric Muller |
| Först publicerad | 2004 |
| Chifferdetalj | |
| Nyckelstorlekar | 256 bitar |
| Fart | 8 cykler per byte på moderna x86 -baserade processorer (påstås) |
| Bästa offentliga kryptoanalys | |
| Alla kända attacker är beräkningsmässigt omöjliga när chiffern används på rätt sätt. Om noncer återanvänds bryter en differentialattack chiffret med cirka 2 37 operationer, 2 34 valda noncer och 2 38,2 valda klartextord. | |
Phelix är ett höghastighetsströmchiffer med en inbyggd MAC-funktion (single-pass message authentication code ), inlämnad 2004 till eSTREAM - tävlingen av Doug Whiting, Bruce Schneier , Stefan Lucks och Frédéric Muller. Chifferet använder endast operationerna addition modulo 2 32 , exklusiv eller , och rotation med ett fast antal bitar. Phelix använder en 256-bitars nyckel och en 128-bitars nonce , och hävdar en designstyrka på 128 bitar. Det har väckts oro över möjligheten att återställa den hemliga nyckeln om chiffret används felaktigt.
Prestanda
Phelix är optimerad för 32-bitars plattformar. Författarna uppger att den kan uppnå upp till åtta cykler per byte på moderna x86 -baserade processorer.
FPGA-hårdvaruprestandasiffror publicerade i tidningen "Review of stream cipher candidates from a low-resurs hardware perspective" [ citat behövs] är följande:
| Xilinx Chip | Skivor | FPGA Mbit/s | Gate Equiv Estimat | Implementeringsbeskrivning |
|---|---|---|---|---|
| XC2S100-5 | 1198 | 960,0 | 20404 | (A) helrund 160-bitars design, enligt utvecklarpapper |
| XC2S100-5 | 1077 | 750,0 | 18080 | (B) halvrunda 160-bitars design |
| XC2S30-5 | 264 | 3.2 | 12314 | (C) 32-bitars dataväg |
Helix
Phelix är en något modifierad form av ett tidigare chiffer, Helix, publicerat 2003 av Niels Ferguson , Doug Whiting, Bruce Schneier , John Kelsey , Stefan Lucks och Tadayoshi Kohno; Phelix lägger till 128 bitar till det interna tillståndet.
2004 publicerade Muller två attacker mot Helix. Den första har en komplexitet på 2 88 och kräver 2 12 adaptiva ord i klartext, men kräver att nonces återanvänds. Souradyuti Paul och Bart Preneel visade senare att antalet adaptiva ord i klartext från Mullers attack kan reduceras med en faktor 3 i värsta fall (en faktor 46,5 i bästa fall) med hjälp av deras optimala algoritmer för att lösa differentialekvationer för tillägg . I en senare utveckling Souradyuti Paul och Bart Preneel att ovanstående attack också kan implementeras med utvalda klartexter (CP) snarare än adaptiva utvalda klartexter (ACP) med datakomplexitet 2 35.64 CP:s. Mullers andra attack mot Helix är en särskiljande attack som kräver 2 114 ord av vald klartext.
Phelix design var till stor del motiverad av Mullers differentiella attack.
säkerhet
Phelix valdes ut som en fas 2-fokuskandidat för både profil 1 och profil 2 av eSTREAM -projektet. Författarna till Phelix klassificerar chifferet som en experimentell design i dess specifikationer. Författarna rekommenderar att Phelix inte ska användas förrän det har fått ytterligare kryptoanalys. Phelix gick inte vidare till fas 3, till stor del på grund av Wu och Preneels nyckelåterställningsattack som noteras nedan och som blir möjlig när förbudet mot att återanvända en nonce överträds.
Det första kryptoanalytiska dokumentet om Phelix var en särskiljande attack med vald nyckel, publicerad i oktober 2006. Doug Whiting har granskat attacken och noterar att även om tidningen är smart, bygger attacken tyvärr på felaktiga antaganden om initieringen av Phelix-chifferet. Denna artikel drogs sedan tillbaka av dess författare.
En andra kryptoanalytisk artikel om Phelix med titeln "Differential Attacks against Phelix" publicerades den 26 november 2006 av Hongjun Wu och Bart Preneel . Uppsatsen är baserad på samma antagande om attacker som Differential Attack against Helix. Uppsatsen visar att om chiffret används felaktigt (nonces återanvänds), kan nyckeln till Phelix återställas med cirka 2 37 operationer, 2 34 valda nonces och 2 38,2 valda klartextord. Beräkningskomplexiteten för attacken är mycket mindre än attacken mot Helix.
Författarna till den differentiella attacken uttrycker oro över att varje ord i klartext påverkar nyckelströmmen utan att passera genom (vad de anser vara) tillräcklig förvirring och diffusionslager. De hävdar att detta är en inneboende svaghet i strukturen av Helix och Phelix. Författarna drar slutsatsen att de anser att Phelix är osäkert.
- D. Whiting, B. Schneier, S. Lucks och F. Muller, Phelix: Snabb kryptering och autentisering i en enda kryptografisk primitiv ( inkluderar källkod)
- T. Good, W. Chelton, M. Benaissa: Granskning av strömchifferkandidater ur ett hårdvaruperspektiv med låga resurser ( PDF)
- Yaser Esmaeili Salehani, Hadi Ahmadi: A Chosen-key Distinguishing Attack on Phelix, inlämnad till eSTREAM [återkallad 2006-10-14]
- Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks och Tadayoshi Kohno, Helix: Fast Encryption and Authentication in a Single Cryptographic Primitive, Fast Software Encryption - FSE 2003, pp330–346.
- Frédéric Muller, Differential Attacks against the Helix Stream Cipher, FSE 2004, pp94–108.
- Souradyuti Paul och Bart Preneel , Solving Systems of Differential Equations of Addition, ACISP 2005. Full version
- Souradyuti Paul och Bart Preneel , nära optimala algoritmer för att lösa differentialekvationer för addition med batchfrågor, Indocrypt 2005. Full version
