ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА. ПРИЛОЖЕНИЕ

Квантовые вычисления активно развиваются в последние десятилетия: увеличивается количество кубитов, с которыми оперирует квантовый компьютер, и снижается вероятность вычислительных ошибок. Поэтому возникает необходимость в разработке и анализе постквантовых криптосистем - криптосистем, устойчивых к атакам с использованием квантового компьютера. Одним из основных подходов к построению таких криптосистем является теория решёток. В данном подходе стойкость большинства криптосистем сводится к решению задачи нахождения кратчайшего вектора в решётке (SVP). В работе приводятся результаты анализа алгоритма 8-просеивания для решения SVP. Предлагается новый компромисс между временем работы и количеством используемой памяти алгоритма 8-просеивания. Приводится сравнение с известными алгоритмами k-просеивания. На отрезке (20-155n, 20-189n) используемой памяти предложенный алгоритм имеет минимальное время работы среди известных алгоритмов k-просеивания.

Сформулированы некоторые необходимые и некоторые достаточные условия максимальности периода конечно-автоматного генератора. Предложен способ построения генератора с максимальным периодом.

Работа посвящена задаче №7 Олимпиады NSUCRYPTO 2023 г. об описании интересного класса кодов C - с однозначным декодированием к ближайшему кодовому слову в метрике Хэмминга. Доказана возможность представления кода C как матроида и приведено промежуточное решение в случае, когда множество B битов, таких, что существует двухбитовое слово, его содержащее, декодирующееся не в z = позициями битов кода C.

С использованием матрично-графового подхода исследуются перемешивающие свойства регистровых преобразований поточных алгоритмов шифрования ТЕА1 и ТЕА2 стандарта цифровой транкинговой радиосвязи ТЕТRА. Получены значения экспонентов перемешивающих матриц, соответствующих регистровым преобразованиям исследуемых алгоритмов. Результаты могут быть использованы для оценки числа тактов работы регистров преобразования ключа в алгоритмах поточного шифрования, необходимых для обеспечения существенной зависимости каждого бита выходной последовательности от всех битов ключа.

Работа посвящена истории развития Международной олимпиады по криптографии Non-Stop University CRYPTO, её открытым проблемам и результатам.

Анализируется класс XSL-алгоритмов блочного шифрования с алгоритмом развертывания ключа на основе рекуррентного соотношения второго порядка и матрицей линейного преобразования, у которой существуют хотя бы два равных элемента в некоторой строке обратной матрицы. Предложена атака на 6-раундовый XSL-алгоритм блочного шифрования на основе комбинирования методов встречи посередине, невозможных разностей, а также модификации подхода «уоуо». Сначала на основе обобщения метода встречи посередине формируется множество кандидатов в раундовые ключи первого раунда. Далее для получения множества кандидатов в раундовые ключи шестого раунда строится различитель, основанный на комбинации невозможных разностей и соотношений из модифицированного подхода «уоуо». Вероятность успеха равна 0,7. Полученные результаты подтверждены на модельном XSL-алгоритме блочного шифрования с 16-битным блоком открытого текста.

КБ-256 - алгоритм блочного шифрования, рекомендованный для защиты больших объёмов данных. Рассматриваются вопросы криптографической стойкости КБ-256 в модели атакующего, имеющего доступ к квантовому компьютеру. Оценивается трудоёмкости применения алгоритма Гровера - сложности квантовой схемы, в которой необходимо реализовать оракул алгоритма КБ-256, а также количество необходимого материала. Помимо этого, рассматривается возможность атаки с помощью алгоритмов поиска скрытого сдвига.

Приводятся результаты анализа схемы VKO и комбинированной схемы VKO+подпись в моделях обобщённой группы и биективного случайного оракула. Получена верхняя оценка сложности задачи различения выхода схемы VKO от случайной равновероятной строки (в эвристике обобщенной группы), а также показано, что возможности получения подписи сообщений по алгоритму genGOST не даёт никакой дополнительной информации противнику в этой задаче (в эвристике биективного случайного оракула).

Вводится новый класс атак, применимых к низкоресурсным функциям симметричной криптографии. Основная идея атак основана на использовании специальных функций, получаемых из оригинальных за счёт рассмотрения малого числа выходных бит. Задачи обращения специальных функций существенно более просты для используемых в алгебраическом криптоанализе комбинаторных алгоритмов (SAT-решателей), чем задачи обращения функций, из которых они строятся. Однако для специальной функции, ввиду того, что её выход существенно короче входа, задача обращения имеет не единственное решение. Для достижения единственности по ключу описывается процедура клонирования функции, в рамках которой специальные функции строятся для одного ключа и нескольких различных фрагментов открытых данных. Операция клонирования специальных функций выполняется на And-Inverter-графах (AIG), представляющих данные функции. Во многих случаях размер AIG может быть существенно уменьшен за счёт применения алгоритмов AIG-минимизации. Результатом совместного использования перечисленных техник являются алгебраические атаки, которые для ряда поточных шифров могут бытв существенно более эффективными в сравнении с аналогичными атаками на функции, представляющие рассматриваемые шифры стандартным образом.

Изучается множество булевых функций от малого числа переменных с оптимальными показателями алгебраической и корреляционной иммунности. Исследуется возможность использования данных функций в качестве координатных функций S-блока.

Предложены тесты криптоаналитической обратимости для функций от трёх аргументов. Сформулированы алгоритмы построения функции восстановления и генерации обратимых функций.

Рассматривается конструкция векторной булевой функции, координаты которой получаются из одной булевой функции с помощью циклического сдвига вектора переменных. Предложен алгоритм построения такой функции, обладающей свойством обратимости; доказаны его полнота и корректности; посчитано количество доставляемых им функций, а также количество обратимых функций в обобщённой конструкции - когда к вектору переменных применяется произвольная полноцикловая перестановка.