Analysis of probabilities of differentials for block cipher “Kalyna” (DSTU 7624:2014)

Abstract

Виконується адаптацiя i застосування методу оцiнювання верхньої межi ймовiрностi двоциклових диференцiалiв для блокового симетричного шифру Калина, який прийнятий в 2015 роцi в якостi українського стандарту ДСТУ 7624:2014. Вiдомi методи або дозволяють отримати тiльки наближене значення даного параметра для цього шифру, або не можуть бути застосованi в явному виглядi через структурнi особливостi цього шифру. Використання наближеного значення ймовiрностi двоциклових диференцiалiв дає ще бiльшу похибку при оцiнюваннi ймовiрностей диференцiалiв з великою кiлькiстю циклiв, а також при оцiнюваннi стiйкостi алгоритму шифрування до iнших видiв диференцiальних атак.Основнi етапи методу, що використовується, наступнi: визначення мiнiмальної кiлькостi активних S-блокiв; визначення вида диференцiйної характеристики, що має максимальну ймовiрнiсть; визначення кiлькостi та ймовiрностей додаткових диференцiйних характеристик.В ходi дослiджень адаптований метод дозволив значно уточнити верхню межу ймовiрностi 2-циклових диференцiалiв для шифру «Калина». Ця межа становила ≈2–47,3, замiсть 2–40 при використаннi методу для вкладених SPN шифрiв (Nested SPN Cipher).Уточнене значення верхньої межi ймовiрностi 2-циклових диференцiалiв дозволило уточнити i граничне значення ймовiрностi 4 циклових диференцiалiв. Для Калини-128 (розмiр блоку 128 бiтiв) значення уточнено в 214,6 разiв, для Калини-256 – в 229,2 разiв, Калини-512 – в 258,4 разiв.Основною перевагою адаптованого для шифру Калина методу стала можливiсть iстотного уточнення верхньої межi ймовiрностi 2-циклового диференцiала. Недолiком адаптованого методу є прийнятi допущення, такi як, наприклад, використання однiєї пiдстановки замiсть чотирьох в оригiнальному алгоритмi. Результатом цього припущення може стати те, що в реальному алгоритмi ймовiрностi 2-циклових диференцiалiв будуть ще меншими.The adaptation and application of the method for estimating the upper bound of the probability of two­round differentials for the block symmetric cipher Kalyna is carried out. This cipher was adopted as the Ukrainian standard DSTU 7624: 2014 in 2015. Known methods allow getting only the approximate value of this parameter for this cipher or cannot be applied explicitly through the structural features of this cipher. Using the approximate probability of two­round differentials gives an even greater error in the evaluation of the probabilities of differentials with a large number of rounds, as well as in assessing the resistance of the encryption algorithm to other types of differential attacks. The main stages of the used method are the following: definition of the minimum number of active S­boxes; definition of the type of differential characteristic having the maximum probability; determination of the number and probabilities of additional differential characteristics. In the course of research, an adapted method has allowed clarifying the upper bound of the probability of 2­round differentials for the cipher Kalyna significantly. This bound is ≈2–47.3 instead of 2–40 when using the method for nested SPN ciphers. The elaborated upper bound of the probability of 2­round differentials allowed clarifying also the bound value of the probability of 4­round differentials. For Kalyna­128 (block size 128 bits), the value is specified 214.6 times, for Kalyna­256 – 229.2 times, Kalyna­512 – 258.4 times. The main advantage of the method adapted for the Kalyna cipher was the possibility of a significant specification of the upper bound of the probability of a 2­round differential. The disadvantage of the adapted method is that assumptions are made, such as, for example, the use of one substitution instead of four in the original algorithm. The result of this assumption is that a real bound of the probability of 2­round differentials could be even smaller.Выполняется адаптация и применение метода оценивания верхней границы вероятности двухцикловых дифференциалов для блочного симметричного шифра Калина, принятый в 2015 году в качестве украинского стандарта ДСТУ 7624: 2014.