COCONUT98: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Contenuto cancellato Contenuto aggiunto
←Nuova pagina: {{WIP|Leo72}} {{Infobox Block Ciphers |fullName = COCONUT98 |immagine = |caption = |designers = Serge Vaudenay |yearPublished = 1998 |derivedFrom = |derivedTo =... |
Nessun oggetto della modifica |
||
| Riga 17: | Riga 17: | ||
}} |
}} |
||
In [[crittografia]] il '''COCONUT98''', [[acronimo]] di '''''Cipher Organized with Cute Operations and N-Universal Transformation''''', è un [[cifrario a blocchi]] progettato da [[Serge Vaudenay]] nel [[1998]]. E' stato uno dei primi algoritmi a cui è stata applicata la [[teoria della decorrelazione]] di Vaudenay: è stato sviluppato per essere [[sicurezza provabile|provatamente sicuro]] contro la [[crittanalisi differenziale]], la [[crittanalisi lineare]] ed anche contro alcuni tipi di attacchi crittografici ancora non scoperti. |
|||
<!-- |
|||
In [[cryptography]], '''COCONUT98 (Cipher Organized with Cute Operations and N-Universal Transformation)''' is a [[block cipher]] designed by [[Serge Vaudenay]] in 1998. It was one of the first concrete applications of Vaudenay's [[decorrelation theory]], designed to be [[provable security|provably secure]] against [[differential cryptanalysis]], [[linear cryptanalysis]], and even certain types of undiscovered cryptanalytic attacks. |
|||
==Struttura== |
|||
The cipher uses a [[block size (cryptography)|block size]] of 64 bits and a [[key size]] of 256 bits. Its basic structure is an 8-round [[Feistel cipher|Feistel network]], but with an additional operation after the first 4 rounds, called a ''decorrelation module''. This consists of a key-dependent [[affine transformation]] in the [[finite field]] GF(2<sup>64</sup>). The round function makes use of [[modular arithmetic|modular multiplication and addition]], [[bit rotation]], [[XOR]]s, and a single 8×24-bit [[substitution box|S-box]]. The entries of the S-box are derived using the binary expansion of [[e (mathematical constant)|e]] as a source of "[[nothing up my sleeve number]]s".<ref>{{cite conference | author = Serge Vaudenay | title = Provable Security for Block Ciphers by Decorrelation | booktitle = 15th Annual Symposium on Theoretical Aspects of Computer Science (STACS '98) | pages = pp.249–275 | publisher = [[Springer-Verlag]] | date = February 1998 | location = [[Paris]] | url = http://lasecwww.epfl.ch/pub/lasec/doc/Vau98a.ps | format = [[PostScript]] | accessdate = 2007-02-26 }}</ref> |
|||
Il cifrario utilizza [[dimensione blocco|blocchi dati]] di 64 [[bit (informatica)|bit]] e [[chiave crittografica|chiavi]] [[dimensione chiave|lunghe]] 256 bit. La sua struttura base è imperniata su una [[rete di Feistel]] ad 8 passaggi ma con un algoritmo aggiuntivo dopo i primi 4 passaggi denominato ''modulo decorrelazionale'': questo consiste in una [[trasformazione affine]] nel [[campo finito]] GF(2<sup>64</sup>) dipendente dalla chiave. |
|||
La funzione di ogni passaggio utilizza moltiplicazioni ed addizioni [[aritmetica modulare|modulari]], rotazione dei bit, operazioni di [[disgiunzione esclusiva|XOR]] ed una singola [[S-box]] da 8×24 bit: i valori in ingresso della S-box sono derivati dall'espansione binaria della ''[[E (costante matematica)|costante e]]''<ref>Serge Vaudenay: [http://lasecwww.epfl.ch/pub/lasec/doc/Vau98a.ps Provable Security for Block Ciphers by Decorrelation] - 15° Annual Symposium on Theoretical Aspects of Computer Science (STACS '98) - pagg. 249-275 - Springer-Verlag (1998)</ref>. |
|||
Despite Vaudenay's proof of COCONUT98's security, in 1999 [[David Wagner]] developed the [[boomerang attack]] against it.<ref>{{cite conference | author = David Wagner | title = The Boomerang Attack | booktitle = 6th International Workshop on [[Fast Software Encryption]] (FSE '99) | pages = pp.156–170 | publisher = Springer-Verlag | date = March 1999 | location = [[Rome]] | url = http://citeseer.ist.psu.edu/wagner99boomerang.html | format = [[PDF]]/PostScript | accessdate = 2007-02-05 }}</ref> This attack, however, requires both [[chosen-plaintext attack|chosen plaintexts]] and [[adaptive chosen-ciphertext attack|adaptive chosen ciphertexts]], so is largely theoretical.<ref>{{cite journal | author = Serge Vaudenay | title = Decorrelation: A Theory for Block Cipher Security | journal = [[Journal of Cryptology]] | volume = 16 | issue = 4 | issn = 0933-2790 | pages = pp.249–286 | date = September 2003 | url = http://lasecwww.epfl.ch/pub/lasec/doc/Vau03b.pdf | format = PDF | accessdate = 2007-02-26 | doi = 10.1007/s00145-003-0220-6 }}</ref> Then in 2002, Biham, et al. applied [[differential-linear cryptanalysis]], a purely chosen-plaintext attack, to break the cipher.<ref>{{cite conference | author = [[Eli Biham]], [[Orr Dunkelman]], [[Nathan Keller]] | title = Enhancing Differential-Linear Cryptanalysis | booktitle = Advances in Cryptology — Proceedings of [[ASIACRYPT]] 2002 | pages = pp.254–266 | publisher = Springer-Verlag | date = December 2002 | location = [[Queenstown, New Zealand]] | url = http://citeseer.ist.psu.edu/biham02enhancing.html | format = PDF/PostScript | accessdate = 2007-02-05 }}</ref> The same team has also developed what they call a ''[[related-key attack|related-key]] boomerang attack'', which distinguishes COCONUT98 from random using one related-key adaptive chosen plaintext and ciphertext quartet under two keys.<ref>{{cite conference | author = Biham, Dunkelman, Keller | title = Related-Key Boomerang and Rectangle Attacks | booktitle = Advances in Cryptology — Proceedings of [[EUROCRYPT]] 2005 | pages = pp.507–525 | publisher = Springer-Verlag | date = May 2005 | location = [[Aarhus]] | url = http://vipe.technion.ac.il/~orrd/crypt/relatedkey-rectangle.ps | format = PostScript | accessdate = 2007-02-16 }}</ref> |
|||
== |
==Sicurezza== |
||
Nonostante le intenzioni di Vaudenay riguardo alla sicurezza del COCONUT98, nel [[1999]] [[David Wagner]] ha violato il cifrario con l'[[attacco a boomerang]], un nuovo tipo di [[tipo di attacco|attacco crittografico]] inventato per l'occasione<ref>David Wagner: [http://citeseer.ist.psu.edu/wagner99boomerang.html The Boomerang Attack] - 6° [[Fast Software Encryption]] (FSE '99) - pagg. 156-170 - Springer-Verlag (1999)</ref>. Questo attacco, comunque, richiede sia [[attacco con testo in chiaro scelto|testi in chiaro scelti]] che [[attacco adattivo con testo cifrato scelto|testi cifrati scelti adattivamente]], risultando alla fine puramente teorico<ref>Serge Vaudenay: [http://lasecwww.epfl.ch/pub/lasec/doc/Vau03b.pdf Decorrelation: A Theory for Block Cipher Security] - Journal of Cryptology (Vol. 16, fasc. 4) - pagg. 249-286 - [[2003]]</ref>. |
|||
Nel [[2002]], invece, [[Eli Biham]] ad altri autori hanno pubblicato i risultati di un [[attacco differenziale-lineare]], un attacco con testo in chiaro scelto, capace di violare il cifrario<ref>[[Eli Biham]], [[Orr Dunkelman]], [[Nathan Keller]]: [http://citeseer.ist.psu.edu/biham02enhancing.html Enhancing Differential-Linear Cryptanalysis] - [[ASIACRYPT]] 2002 - pagg. 254-266 - Springer-Verlag - 2002</ref>. Lo stesso gruppo di studiosi ha anche sviluppato quello che essi chiamano un ''attacco a boomerang [[attacco correlato alla chiave|correlato alla chiave]]'', capace di distinguere il COCONUT98 da un blocco di dati casuali utilizzando quattro testi scelti adattivamente correlati a due chiavi, una coppia di testi in chiaro ed una coppia di testi cifrati.<ref>Biham, Dunkelman, Keller: [http://vipe.technion.ac.il/~orrd/crypt/relatedkey-rectangle.ps Related-Key Boomerang and Rectangle Attacks] - [[EUROCRYPT]] [[2005]] - pagg. 507-525 - Springer-Verlag - 2005</ref>. |
|||
==Voci correlate== |
|||
* [[Cifrario a blocchi]] |
|||
* [[Attacco a boomerang]] |
|||
==Riferimenti== |
|||
<references/> |
<references/> |
||
{{Portale|Crittografia}} |
|||
{{crypto-stub}} |
|||
[[Categoria:Cifrari a blocchi]] |
|||
{{Crypto navbox | block}} |
|||
[[Category:Block ciphers]] |
|||
[[en:COCONUT98]] |
|||
--> |
|||
Versione delle 01:02, 6 dic 2008
Template:Infobox Block Ciphers
In crittografia il COCONUT98, acronimo di Cipher Organized with Cute Operations and N-Universal Transformation, è un cifrario a blocchi progettato da Serge Vaudenay nel 1998. E' stato uno dei primi algoritmi a cui è stata applicata la teoria della decorrelazione di Vaudenay: è stato sviluppato per essere provatamente sicuro contro la crittanalisi differenziale, la crittanalisi lineare ed anche contro alcuni tipi di attacchi crittografici ancora non scoperti.
Struttura
Il cifrario utilizza blocchi dati di 64 bit e chiavi lunghe 256 bit. La sua struttura base è imperniata su una rete di Feistel ad 8 passaggi ma con un algoritmo aggiuntivo dopo i primi 4 passaggi denominato modulo decorrelazionale: questo consiste in una trasformazione affine nel campo finito GF(264) dipendente dalla chiave.
La funzione di ogni passaggio utilizza moltiplicazioni ed addizioni modulari, rotazione dei bit, operazioni di XOR ed una singola S-box da 8×24 bit: i valori in ingresso della S-box sono derivati dall'espansione binaria della costante e[1].
Sicurezza
Nonostante le intenzioni di Vaudenay riguardo alla sicurezza del COCONUT98, nel 1999 David Wagner ha violato il cifrario con l'attacco a boomerang, un nuovo tipo di attacco crittografico inventato per l'occasione[2]. Questo attacco, comunque, richiede sia testi in chiaro scelti che testi cifrati scelti adattivamente, risultando alla fine puramente teorico[3].
Nel 2002, invece, Eli Biham ad altri autori hanno pubblicato i risultati di un attacco differenziale-lineare, un attacco con testo in chiaro scelto, capace di violare il cifrario[4]. Lo stesso gruppo di studiosi ha anche sviluppato quello che essi chiamano un attacco a boomerang correlato alla chiave, capace di distinguere il COCONUT98 da un blocco di dati casuali utilizzando quattro testi scelti adattivamente correlati a due chiavi, una coppia di testi in chiaro ed una coppia di testi cifrati.[5].
Voci correlate
Riferimenti
- ^ Serge Vaudenay: Provable Security for Block Ciphers by Decorrelation - 15° Annual Symposium on Theoretical Aspects of Computer Science (STACS '98) - pagg. 249-275 - Springer-Verlag (1998)
- ^ David Wagner: The Boomerang Attack - 6° Fast Software Encryption (FSE '99) - pagg. 156-170 - Springer-Verlag (1999)
- ^ Serge Vaudenay: Decorrelation: A Theory for Block Cipher Security - Journal of Cryptology (Vol. 16, fasc. 4) - pagg. 249-286 - 2003
- ^ Eli Biham, Orr Dunkelman, Nathan Keller: Enhancing Differential-Linear Cryptanalysis - ASIACRYPT 2002 - pagg. 254-266 - Springer-Verlag - 2002
- ^ Biham, Dunkelman, Keller: Related-Key Boomerang and Rectangle Attacks - EUROCRYPT 2005 - pagg. 507-525 - Springer-Verlag - 2005
