PRESENT (צופן)
תרשים כללי של צופן PRESENT | |
מידע כללי | |
---|---|
תכנון | אורנג', אוניברסיטת רוהר בוכום ואוניברסיטה הטכנית של דנמרק |
פרסום | 2007 |
מבוסס על | DES וסרפנט |
מבנה הצופן | |
אורך מפתח | 80 או 128 סיביות |
אורך בלוק | 64 סיביות |
מבנה | רשת החלפה-תמורה |
מספר סבבים | 31 |
PRESENT הוא צופן בלוקים קל משקל, בסגנון רשת החלפה-תמורה, המיועד לריצה על חומרה מוגבלת משאבים כמו RFID ורשת סנסורים אלחוטיים. פותח על ידי קבוצת חוקרים ממעבדות אורנג', DTU (האוניברסיטה הטכנית של דנמרק) ו-RUB (אוניברסיטת רוהר בוכום) והוצג בסדנת CHES 2007 (ועידה בנושא קריפטוגרפיה בחומרה ומערכות משובצות) בווינה[1]. ידוע בקומפקטיות שלו, הוא קטן מ-AES פי שנים וחצי בקירוב ונכלל בתקן איזו ISO/IEC 29192-2[2] בקטגוריית צופן בלוקים קל משקל.
הצופן עוצב במיוחד תוך התחשבות בסביבת מחשוב אולטרה זעירה, עם צריכת אנרגיה מאוד נמוכה. הוא משלב מוטיבים מצופן DES ומסרפנט (מכאן שמו). בנוי בסגנון רשת החלפה-תמורה עם תיבת החלפה אחת בגודל סיביות. מקבל בלוק טקסט גלוי באורך 64 סיביות (שמונה בתים), מפתח הצפנה באורך 80 או 128 סיביות (עשרה או שישה עשר בתים) לפי העדפה ומחזיר בלוק מוצפן באורך 64 סיביות.
שיקולי פיתוח ויעדים
[עריכת קוד מקור | עריכה]טכנולוגית מחשוב מפושט (Pervasive Computing) מצריכה התייחסות שונה מהיבט קריפטוגרפי. הכלים הקיימים כמו AES או סרפנט אינם מתאימים במיוחד כיוון שהם פותחו תוך חשיבה על מחשבים שולחניים או שרתים המצוידים במעבד חזק וזיכרון בשפע ולא על סביבה מוגבלת במשאבים כמו כרטיס חכם או תיוג אלקטרוני עם או בלי מקור אנרגיה עצמאי. כבר אפשר לראות את סכנות השימוש במכשירים אילו מהיבט ביטחוני והשימוש בהם רק הולך וגובר בקצב מסחרר. בגלל הצורך בכלים קריפטוגרפיים ייעודיים לחומרה זעירה גבר לאחרונה העניין בפיתוח פרימיטיבים כאלו, במיוחד צופן בלוקים וצופן זרם.
במסגרת פרויקט eSTREAM פותחו מספר צפני זרם מאוד יעילים בחומרה ביניהם גריין ו-Trivium. אך בניגוד לצופן זרם, צופן בלוקים נחשב לפרימיטיב יותר ורסטילי. יתרה מזו, אמנות פיתוח צופן בלוקים מבוססת ומובנת יותר מפיתוח צופן זרם. למרות שקיימת תאוריה עשירה בנושא LFSR שנחשב לכלי הטוב ביותר לבניית צופן זרם מהיר במינימום מעגלים, עדיין קשה להגיע לשילוב בטוח ובשל כך האמון בצופן זרם מסוג כזה חלש יותר. בבניית צופן בלוקים קל משקל כמו PRESENT, אין די במיטוב אלגוריתם קיים אלא עדיף לפתח אותו מההתחלה תוך התחשבות בסביבה בה יפעל. כמובן בהתחשב במינימום הביטחון ההכרחי בסטנדרטים של ימינו. למשל יש לקחת בחשבון שאם הצופן מקבל בלוק קצר מדי, למשל 64 סיביות הדבר חושף אותו להתקפת יום הולדת ואם ההתקן אמור להצפין כמויות גדולות של מידע (מה שלא סביר שיקרה בהתקנים זעירים) יש צורך להחליף מפתחות בתדירות גבוהה יותר.
ידוע שצופן DES נחשב ליעיל מאוד בחומרה אפילו בהשוואה לצפנים מודרניים. הסיבה היא שמפתחי הצופן מראש שאפו לייעדו לחומרה. בהתחשב בעובדה שבעת פיתוח DES מזעור המוליכים למחצה היה עדיין בחיתוליו זה לא מפתיע שניתן לממש את DES בחומרה עם 2300 GE (שערים לוגיים). לשם השוואה AES במימוש הכי ממוטב בחומרה, צורך לפחות 3600 שערים. בקטגוריה של צפנים קלי משקל קיימות מספר הצעות טובות כמו SEA, TEA, mCrypton ו-HIGHT שבממוצע צורכים כ-2500 GE. הבעיה עם DES היא העובדה שהמפתח קצר מדי (רק 56 סיביות לעומת צפנים מודרניים 128 סיביות לפחות), הגרסה המשופרת שלו DESXL (עם מפתחות באורך כולל של 168 סיביות) צורכת כ-2200 GE. את PRESENT אפשר לממש בחומרה עם 1570 GE מה שמעמיד אותו כמתחרה ראוי אף לצופן זרם.
שימושים ומגבלות
[עריכת קוד מקור | עריכה]צופן PRESENT הוא צופן פשוט שפותח במיוחד לסביבה בעלת משאבים נמוכים מאוד ואינו מתאים לשימוש כללי. הוא מומלץ לשימוש רק במקרים מיוחדים כאשר AES אינו מתאים. באופן כללי:
- צופן PRESENT מיועד למימוש בחומרה.
- הוא מתאים רק במקרים בהם נדרש ביטחון סביר ולא ברמה הכי גבוהה. לכן מפתח באורך 80 סיביות מספק.
- הצופן לא נועד להצפנת כמויות גדולות של מידע ולכן גודל הבלוק הוגבל ל-64 סיביות.
- יש מקרים שבהם כדאי להטמיע את המפתח הסודי בחומרה. במקרה כזה שהמפתח קבוע התקפות שמסתמכות על מניפולציות של המפתח אינן ישימות.
- האספקטים החשובים שיש לוודא במימוש האלגוריתם, לפי סדר יורד, הם: ביטחון, שטח פיזי, צריכת אנרגיה ולבסוף תפוקה.
- במצב מונה אפשר לממש רק את פונקציית ההצפנה של הצופן, מה שחוסך במקום נוסף.
תיאור הצופן
[עריכת קוד מקור | עריכה]PRESENT בנוי בסגנון רשת החלפה תמורה ב-31 סבבים. הוא מקבל מפתח הצפנה סודי בשני אורכים אפשריים. מפתח באורך 80 סיביות המתאים לשימוש רגיל בדומה לתקן eSTREAM למימוש צופן זרם בחומרה מוגבלת, כאשר דרישות הביטחון נמוכות. או מפתח באורך 128 סיביות לפי המינימום הנדרש בתקן AES במידה שיש צורך בביטחון גבוה יותר. המפתח מורחב ל-32 תת-מפתחות בתהליך שמתואר בהמשך. בכל סבב מבוצעים שלושה מהלכים:
- חיבור עם תת-המפתח (כאשר מתייחס למספר הסבב) והמפתח משמש להלבנה מסיימת.
- שכבת פיזור שהיא תמורה ליניארית ברמת סיביות.
- שכבת החלפה אי-ליניארית הכוללת תיבת החלפה S-box בגודל 4 סיביות המבוצעת 16 פעמים במקביל.
חיבור מפתח
[עריכת קוד מקור | עריכה]החיבור עם המפתח שנקרא "addRoundKey" הוא חיבור XOR של 64 סיביות המצב הפנימי (הזיכרון) של הצופן עם 64 הסיביות הראשונות של תת-המפתח .
החלפה
[עריכת קוד מקור | עריכה]ההחלפה הנקראת "sBoxLayer" היא פעולת החלפה של ארבע סיביות בארבע סיביות לפי טבלה קבועה. מחלקים את בלוק המצב המכיל 64 סיביות: ל-16 חלקים באורך ארבע סיביות כל אחד: כאשר עבור ומחליפים אותם במקביל לפי הטבלה הבאה:
x | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | A | B | C | D | E | F |
S[x] | C | 5 | 6 | B | 9 | 0 | A | D | 3 | E | F | 8 | 4 | 7 | 1 | 2 |
פיזור
[עריכת קוד מקור | עריכה]שכבת הפיזור הנקראת "pLayer" מובאת בטבלה הבאה:
0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
0 | 16 | 32 | 48 | 1 | 17 | 33 | 49 | 2 | 18 | 34 | 50 | 3 | 19 | 35 | 51 | |
16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
4 | 20 | 36 | 52 | 5 | 21 | 37 | 53 | 6 | 22 | 38 | 54 | 7 | 23 | 39 | 55 | |
32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | |
8 | 24 | 40 | 56 | 9 | 25 | 41 | 57 | 10 | 26 | 42 | 58 | 11 | 27 | 43 | 59 | |
48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | |
12 | 28 | 44 | 60 | 13 | 29 | 45 | 61 | 14 | 30 | 46 | 62 | 15 | 31 | 47 | 63 |
לדוגמה אם הקלט הוא הפלט הוא .
הכנת מפתח
[עריכת קוד מקור | עריכה]הפרוצדורה "generateRoundKeys" אחראית להכנת המפתח המסופק על ידי המשתמש להצפנה. במקרה של 80 סיביות, תחילה טוענים את המפתח לאוגר באורך 80 סיביות: . בכל סבב משתמשים רק ב-64 הסיביות הראשונות (הכי פחות משמעותיות) של המפתח: ובכל סבב הפרוצדורה "update" מעדכנת את אוגר המפתח כדלהלן:
במילים: בכל סבב מבצעים הזזה מעגלית של אוגר המפתח 61 סיביות שמאלה, ארבע הסיביות השמאליות ביותר מוחלפות לפי תיבת ההחלפה של PRESENT וחמש הסיביות הימניות ביותר (הכי פחות משמעותיות) של מונה הסבב (ערכו של ) מחוברות ב-XOR עם סיביות המפתח בפוזיציות .
תיאור הצופן
[עריכת קוד מקור | עריכה]להלן פסבדו קוד הממחיש את האלגוריתם באופן כללי.
|
ביטחון ויעילות
[עריכת קוד מקור | עריכה]לאור העובדה שהצופן מיועד מראש לספק ביטחון בינוני אין לראות בו כתחליף ל-AES והקריפטואנליזה[3][4][5] שלו בהתאם צריכה להתחשב בעובדה זו. הצופן חדש יחסית ובאופן כללי לא התגלו בו בעיות רציניות. התקפת איזון זמן/זיכרון המבוססת על פרדוקס יום ההולדת בדרך כלל מהווה איום משמעותי על צופן בלוקים עם בלוק קטן יחסית כמו PRESENT, אולם בהתחשב בסביבה המיוחדת בה הוא אמור לפעול האיום הזה לדעת המפתחים אינו חמור. התקפת ערוץ צדדי יכולה להיות ישימה נגד PRESENT כמו נגד צפנים אחרים, שוב בשל הפלטפורמה הספציפית שבה אמור הצופן להיות מיושם התקפה זו אינה מהווה איום ממשי לדעת המפתחים.
ראו גם
[עריכת קוד מקור | עריכה]
הערות שוליים
[עריכת קוד מקור | עריכה]- ^ PRESENT: An Ultra-Lightweight Block Cipher, A. BogdanovL. R. KnudsenG. LeanderC. PaarA. PoschmannM. J. B. RobshawY. SeurinC. Vikkelsoe, CHES 2007
- ^ ISO/IEC 29192-2:2012
- ^ Blondeau, Cline; Nyberg, Kaisa (2014). "Links between truncated differential and multidimensional linear properties of block ciphers and underlying attack complexities". Lecture Notes in Computer Science. 8441 (Advances in Cryptology EUROCRYPT 2014): 165–182.
- ^ Lee, Changhoon (2014-01-28). "Biclique cryptanalysis of PRESENT-80 and PRESENT-128". The Journal of Supercomputing. 70 (1): 95–103
- ^ Faghihi Sereshgi, Mohammad Hossein; Dakhilalian, Mohammad; Shakiba, Mohsen (2015-10-06). "Biclique cryptanalysis of MIBS-80 and PRESENT-80 block ciphers". Security and Communication Networks