Đề xuất S - Hộp có tính chất mật mã tốt cho hoán vị của hàm băm keccak
Keccak là hàm băm giành được chiến
thắng trong cuộc thi SHA-3 của Viện Tiêu chuẩn
và Công nghệ Mỹ (NIST) tổ chức. Có nhiều tấn
công thám mã khai thác bậc đại số thấp trong hoán
vị của hàm băm này. Chính những kết quả này mà
nhóm tác giả thiết kế Keccak đã tăng số vòng từ 18
lên 24 trong hoán vị của nó. Trên cơ sở đó, bài báo
tập trung phân tích tính chất đại số của hoán vị
Keccak-f trong hàm băm này, sau đó đề xuất một
thành phần S-hộp mới có tính chất mật mã tốt để
sử dụng trong hoán vị của hàm băm Keccak.
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "Đề xuất S - Hộp có tính chất mật mã tốt cho hoán vị của hàm băm keccak", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Đề xuất S - Hộp có tính chất mật mã tốt cho hoán vị của hàm băm keccak
Journal of Science and Technology on Information security 32 No 1.CS (11) 2020 Đề xuất S-hộp có tính chất mật mã tốt cho hoán vị của hàm băm Keccak Nguyễn Văn Long, Lê Duy Đức Tóm tắt—Keccak là hàm băm giành được chiến thắng trong cuộc thi SHA-3 của Viện Tiêu chuẩn và Công nghệ Mỹ (NIST) tổ chức. Có nhiều tấn công thám mã khai thác bậc đại số thấp trong hoán vị của hàm băm này. Chính những kết quả này mà nhóm tác giả thiết kế Keccak đã tăng số vòng từ 18 lên 24 trong hoán vị của nó. Trên cơ sở đó, bài báo tập trung phân tích tính chất đại số của hoán vị Keccak-f trong hàm băm này, sau đó đề xuất một thành phần S-hộp mới có tính chất mật mã tốt để sử dụng trong hoán vị của hàm băm Keccak. Abstract—Keccak is the winner of the SHA-3 competition of National Institute of Standards and Technology (NIST). There are many cryptographic attacks that exploit the low algebraic degree in permutation of this hash function. Due to these results, the Keccak design team increased the number of rounds from 18 to 24 in its permutation. On that basis, the paper focuses on analyzing the algebraic properties of the Keccak-f permutation in this hash function, then proposes a new S-box with good cryptographic properties used in Keccak’s permutation. Từ khóa—Keccak; S-hộp; bậc đại số; SHA-3; tấn công phân biệt. Keywords—Keccak; S-box; algebraic degree; SHA3; distinguishing attack. I. GIỚI THIỆU Cuộc thi tuyển chọn hàm băm SHA-3 do NIST tổ chức bắt đầu từ tháng 11/2007, kết thúc vào tháng 10/2012. Cuộc thi diễn ra trong 3 vòng với sự tham gia của 64 hàm băm dự tuyển. Sau khi kết thúc cuộc thi, Keccak là hàm băm chiến thắng và được lựa chọn để xây dựng chuẩn hàm băm mới SHA-3 của NIST. Chuẩn được công bố năm 2015 với tên gọi FIPS 202 [1]. Bài báo được nhận ngày 30/6/2020. Bài báo được nhận xét bởi phản biện thứ nhất ngày 03/8/2020 và được chấp nhận đăng ngày 03/8/2020. Bài báo được nhận xét bởi phản biện thứ hai ngày 11/7/2020 và được chấp nhận đăng ngày 29/8/2020. Ngay từ khi được đề xuất, Keccak đã nhận được sự quan tâm của cộng đồng mật mã quốc tế. Một trong những lý do được quan tâm là cấu trúc thiết kế của hàm băm này dựa trên kiến trúc Sponge, đạt được độ an toàn chứng minh được một cách rõ ràng. Hơn nữa, các thành phần mật mã bên trong Keccak tạo nhiều lợi thế trong cài đặt trên nhiều nền tảng khác nhau. Đến nay, đã có hàng trăm công trình nghiên cứu về các tính chất cũng như thám mã lên hàm băm này, hầu như tất cả các nghiên cứu được nhóm thiết kế công bố và cập nhật thường xuyên trên website chính thức của hàm băm Keccak (https://keccak.team/keccak.html). Trong số các hướng nghiên cứu lên Keccak, nhóm tác giả đặc biệt quan tâm đến các kết quả đánh giá tính chất của hoán vị Keccak-f của nhóm tác giả C. Boura và cộng sự [2]-[5]. Công trình nghiên cứu của nhóm tác giả này khai thác tính chất tổng bằng không (zezo-sum property) trên cơ sở đạo hàm bậc cao, từ đó cho phép đánh giá tính chất phân biệt qua các vòng của hoán vị. Chính kết quả của nhóm nghiên cứu này mà các nhà thiết kế hàm băm Keccak đã quyết định tăng số vòng của hoán vị lên 24 thay vì 18 như đề xuất ban đầu. Nghiên cứu đầu tiên theo hướng khai thác tính chất tổng bằng không là của nhóm J. Aumasson và W. Meier trong CHES 2009 [6]. Dựa vào việc đánh giá bậc đại số qua các vòng của hoán vị Keccak-f, các tác giả đã xây dựng bộ phân biệt lên 16 vòng của hoán vị này. Năm 2010, C. Boura và A. Canteaut đã công bố công trình nghiên cứu trong hội nghị ISIT 2010 [3]. Nghiên cứu này trình bày về tính chất tổng bằng không lên toàn bộ 18 vòng hoán vị Keccak-f trong phiên bản đầu tiên của hàm băm Keccak. Chính kết quả này mà nhóm thiết kế Keccak thay đổi số vòng của hoán vị lên 24. Cũng trong năm 2010 tại hội nghị SAC, Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 1.CS (11) 2020 33 C. Boura và A. Canteaut đã mở rộng kết quả nghiên cứu trước đó và áp dụng để xây dựng bộ phân biệt lên 20 vòng cho phiên bản hàm băm Keccak mới. Kết quả cho phép xây dựng bộ phân biệt tổng bằng không có kích thước 21586 lên 20 vòng của hoán vị Keccak-f [2]. Năm 2011, tại hội nghị FSE, C. Boura, A. Canteaut và C. De Cannière thực hiện nghiên cứu các tính chất vi sai bậc cao của Keccak [4]. Từ đó cho phép xây dựng bộ phân biệt tổng bằng không lên toàn bộ 24 vòng của hàm băm Keccak. Một nghiên cứu khác theo hướng này thuộc về nhóm tác giả M. Duan và X. Lai [7], được công bố năm 2012 khi cải tiến cận đánh giá của nhóm C. Boura và cộng sự để nhận được độ phức tạp nhỏ hơn. Một hướng nghiên cứu khác khai thác tính chất tuyến tính hóa không đầy đủ của S-hộp (Non-Full S-box Lineariation) để thực hiện tấn công lên Keccak. Hướng nghiên cứu này được Ling Song và cộng sự khai thác trong [8] và K. Qiao cùng cộng sự khai thác trong [9] để đánh giá độ an toàn lên số vòng rút gọn của Keccak. Ý tưởng chính trong những nghiên cứu này là thành lập các phương trình tuyến tính trên các tập con đầu vào của S-hộp của Keccak, sau đó khai thác để đưa ra các ước lượng an toàn cho số vòng rút gọn của Keccak. Có thể thấy rằng, các phương trình biểu diễn S-hộp của Keccak có bậc đại số thấp chính là lý do các dạng tấn công mà tác giả liệt kê ở trên có thể khai thác. Với những phân tích như vậy, nhóm tác giả hướng đến đối tượng nghiên cứu trong báo cáo này là các S-hộp trong hoán vị Keccak-f, sự ảnh hưởng của nó lên độ an toàn và đề xuất S-hộp mới với mục đích tăng độ an toàn lên hoán vị Keccak-f. Với S-hộp đề xuất này, khi thay thế S-hộp trong hoán vị Keccak-f sẽ nhận được một hàm băm mới có cấu trúc Sponge (hàm băm Keccak sửa đổi). Trên cơ sở như vậy, bố cục của bài báo được tổ chức như sau: Phần II mô tả về hoán vị Keccak-f; ở Phần III là một số phân tích về tính chất của hoán vị này; Phần IV trình bày về đề xuất thay thế S-hộp gốc trong Keccak bởi ... 0, d = 3, e = 45 23. (x, y) = (4, 2): a = 1, b = 18, c = 6, d = 25, e = 8 24. (x, y) = (4, 3): a = 27, b = 56, c = 36, d = 10, e = 15 25. (x, y) = (4, 4): a = 62, b = 2, c = 55, d = 39, e = 41 Trong mỗi lane ở các biểu thức trên, đại lượng 𝑎, 𝑏, 𝑐, 𝑑 và 𝑒 sẽ quy định xem các bit có nằm cùng 1 slice hay không (slice là một mặt bit có kích thước 5×5 bit, chi tiết minh họa thuật ngữ slice có thể tham khảo trong [1]. Chúng ta chỉ quan tâm đến các giá trị của 𝑎, 𝑏, 𝑐, 𝑑 và 𝑒 mà chúng liên tiếp nhau. Ví dụ, trong trường hợp (𝑥, 𝑦) = (0, 0), có 𝑎 = 44 và 𝑐 = 43. Vì trong các biểu thức của 𝐴, 𝐵, 𝐶, 𝐷 và 𝐸 chứa các thành phần 𝑎, 𝑎 − 1, 𝑏, 𝑏 − 1, 𝑐, 𝑐 − 1, 𝑑, 𝑑 − 1, 𝑒 và 𝑒 − 1 (thỏa mãn như phần in đậm ở phân tích theo bảng offset). Nếu không có các giá trị liên tiếp như vậy, có nghĩa là các bit nằm ở các slice khác nhau, nghĩa là trong biểu thức của 𝐴,𝐵, 𝐶, 𝐷 và 𝐸 sẽ không chứa các lane chung hoặc chứa các lane chung nhưng các bit tương ứng nằm ở các slice khác nhau. Từ đây, chúng ta sẽ có kết luận về số bit phụ thuộc. Xét các trường hợp cụ thể sau: Trường hợp (𝒙, 𝒚) = (𝟎, 𝟎), có: 𝐴 𝜃−1 → (𝐿[1,1] ⋙ 44)⊕∑(𝐿[0, 𝑖] ⋙ 44) 4 𝑖=0 ⊕∑(𝑳[𝟐, 𝒊] ⋙ 𝟒𝟑) 4 𝑖=0 𝐶 𝜃−1 → (𝑳[𝟐, 𝟐] ⋙ 𝟒𝟑) ⊕∑(𝐿[1, 𝑖] ⋙ 43) 4 𝑖=0 ⊕∑(𝐿[3, 𝑖] ⋙ 42) 4 𝑖=0 Thấy rằng khi 𝑖 = 2, hai biểu thức trên có 1 lane chung là 𝐿[2,2] ⋙ 43. Do vậy, trong trường hợp này 64 bit thuộc 𝐿[0,0] sẽ phụ thuộc vào 11 + 11 + 11 + 11 + 11 – 1 = 54 bit đầu vào. Trường hợp (𝒙, 𝒚) = (𝟏, 𝟎), có: 𝐴 𝜃−1 → (𝑳[𝟐, 𝟐] ⋙ 𝟒𝟑) ⊕∑(𝐿[1, 𝑖] ⋙ 43) 4 𝑖=0 ⊕∑(𝐿[3, 𝑖] ⋙ 42) 4 𝑖=0 Journal of Science and Technology on Information security 42 No 1.CS (11) 2020 𝐵 𝜃−1 → (𝐿[1,1] ⋙ 44)⊕∑ (𝐿[0, 𝑖] ⋙ 44) 4 𝑖=0 ⊕ ∑(𝑳[𝟐, 𝒊] ⋙ 𝟒𝟑) 4 𝑖=0 Thấy rằng, khi 𝑖 = 2, hai biểu thức trên có 1 lane chung là 𝐿[2,2] ⋙ 43. Do vậy, trong trường hợp này, 64 bit thuộc lane 𝐿[1,0] sẽ phụ thuộc vào 11 + 11 + 11 + 11 + 11 – 1 = 54 bit đầu vào. Tương tự, trong các trường hợp (𝑥, 𝑦) = (2, 0), (3, 0) và (4, 0) thì mỗi 64 bit tương ứng thuộc mỗi lane 𝐿[2,0], 𝐿[3,0] và 𝐿[4,0] phụ thuộc vào 54 bit đầu vào. Như vậy, sẽ có 5 × 64 = 320 bit đầu ra phụ thuộc vào 54 bit đầu vào. Còn lại 1600 – 320 = 1280 bit đầu ra phụ thuộc vào 55 bit đầu vào.■ Như vậy, với S-hộp đề xuất, hàm vòng tương ứng nhận được có số bit phụ thuộc lớn hơn nhiều so với trong Keccak. Điều này có được là do biểu thức đại số của các hàm bool trong S-hộp đề xuất là phức tạp hơn. Do vậy dạng biểu diễn phương trình đại số qua các vòng của hoán vị sử dụng S- hộp này sẽ có bậc đại số cao hơn trong Keccak. B. Bậc đại số của hoán vị Keccak-f sử dụng S- hộp đề xuất Áp dụng các kết quả nghiên cứu về bộ phân biệt tổng bằng 0 cho hoán vị Keccak-f trong [2], chúng ta có bảng ước lượng sau: BẢNG 5. BẬC ĐẠI SỐ CHO SỐ VÒNG RÚT GỌN TRONG KECCAK-F VÀ KECCAK-F SỬ DỤNG S-HỘP ĐỀ XUẤT r Hoán vị gốc Hoán vị sử dụng S- hộp đề xuất deg(𝑅𝑟) deg(𝑖𝑛𝑣𝑅𝑟) deg(𝑅𝑟) deg(𝑖𝑛𝑣𝑅𝑟) 1 2 3 4 4 2 4 9 16 16 3 8 27 64 64 4 16 81 256 256 5 32 243 1024 1024 6 64 729 1456 1456 7 128 1164 1564 1564 8 256 1382 1591 1591 9 512 1491 1598 1598 10 1024 1545 1599 1599 11 1408 1572 1599 1599 12 1536 1586 1599 1599 13 1578 1593 1599 1599 14 1592 1596 1599 1599 15 1597 1598 1599 1599 16 1599 1599 1599 1599 Từ Bảng 5 thấy rằng, phải đến vòng thứ 16 thì bậc đại số của dạng biểu diễn phương trình đại số đối với hoán vị trong Keccak mới đạt cực đại. Còn khi thay bằng S-hộp đề xuất sẽ là 10. Như vậy, khi bậc đại số của S-hộp cao hơn sẽ ảnh hưởng trực tiếp đến các ước lượng trong Bảng 5. Hơn nữa, điều này cũng được giải thích phần nào thông qua đánh giá số bit phụ thuộc ở Mệnh đề 2, 3. Do vậy, hoán vị Keccak-f với S- hộp đề xuất là có tính chất đại số tốt hơn của Keccak-f nguyên thủy. Với tính chất đại số như vậy, hàm băm Keccak sử dụng S-hộp đề xuất sẽ có khả năng kháng lại tốt hơn trước các tấn công phân biệt dựa trên tổng bằng 0 so với hàm băm Keccak nguyên thủy. C. Tính tuyến tính hóa không đầy đủ của S-hộp đề xuất Ở các mục trên, nhóm tác giả đã phân tích tính chất tuyến tính hóa không đầy đủ đối với S- hộp trong Keccak-f. Có nghĩa rằng, tồn tại các tập con mà ở đó một số phương trình biểu diễn S-hộp trong Keccak-f có dạng tuyến tính (ví dụ các tập trong Bảng 2). Với tính chất này, các tác giả trong [8]-[10] thực hiện việc lập hệ phương trình cho số vòng nhỏ của Keccak. Từ đó đưa ra tấn công. Áp dụng tương tự đối với S-hộp đề xuất trong bài báo thấy rằng, các tính chất như trong [8] là không còn đúng nữa. Do vậy, việc sử dụng các phương trình tuyến tính để mở rộng số vòng trong tấn công tìm va chạm theo các cách tiếp cận trong [8]-[10] là không áp dụng Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 1.CS (11) 2020 43 được cho phiên bản hàm băm Keccak mà sử dụng S-hộp đề xuất này. D. Sự ảnh hưởng đến cấu trúc Sponge của hàm băm Keccak Các nhà thiết kế mật mã thông thường sẽ lựa chọn một cấu trúc tổng thể, sau đó có những đánh giá về cấu trúc này trước khi thiết kế cho các thành phần ở bên trong nó. Ví dụ như mã khối có các cấu trúc thông dụng: mạng SPN, mạng Feistel,... Hàm băm có: cấu trúc Merkle- Damgard, cấu trúc Sponge,... Trước khi đánh giá lên những cấu trúc này, chúng ta thường lý tưởng hóa thành phần bên trong nó như là các mã khối lý tưởng, hoán vị ngẫu nhiên, biến đổi hay hàm ngẫu nhiên,... Kết quả, chúng ta sẽ có được những tấn công tổng quát. Nói cách khác, tấn công tổng quát là những tấn công mà không khai thác bất kỳ một thuộc tính mật mã bên trong một nguyên thủy mật mã, mà chỉ sử dụng cấu trúc tổng thể trong thiết kế của nó. Đối tượng mà chúng tôi muốn hướng ở phần này đến là cấu trúc Sponge trong thiết kế hàm băm Keccak. Các tấn công tổng quát lên nó có thể kể đến là: tìm va chạm bên trong, tìm chu kỳ đầu ra, tìm đường dẫn đến trạng thái trong, khôi phục trạng thái,... [14]. Ở những phân tích này, các tác giả đã đưa ra những ước lượng độ an toàn cụ thể cho hai trường hợp sử dụng biến đổi ngẫu nhiên và hoán vị ngẫu nhiên trong cấu trúc Sponge. Ở một khía cạnh khác, với các biến đổi ngẫu nhiên và hoán vị ngẫu nhiên, nhóm tác giả trong [14] đã có những đánh giá lợi thế phân biệt của cấu trúc Sponge với bộ tiên tri ngẫu nhiên (Theorem 7, Theorem 9 [14]). Có thể nói rằng, những phân tích trong các tài liệu nói trên đã không sử dụng một thuộc tính nào của hàm được sử dụng trong cấu trúc Sponge. Chính vì vậy, việc thay đổi và đề xuất S-hộp mới không làm thay đổi cấu trúc Sponge trong hàm băm Keccak. Nó không ảnh hưởng đến độ an toàn chứng minh được của cấu trúc Sponge trong hàm băm này. VI. ĐÁNH GIÁ KHẢ NĂNG THỰC THI KHI SỬ DỤNG S-HỘP ĐỀ XUẤT TRONG HOÁN VỊ KECCAK-F Nhóm tác giả đã thực hiện xây dựng chương trình cài đặt trên ngôn ngữ C cho thuật toán SpongeHash. Cài đặt ở đây không áp dụng một chỉ lệnh SIMD hay Assembler nào. Cài đặt và biên dịch sử dụng Visual Studio 12 trên một nhân máy Intel(R) Core(TM) i5-6200U CPU @ 2.30GHz 2.40GHz, Windows 10, phiên bản x64 bit. Bảng thống kê dưới đây thể hiện tốc độ thực thi của các thuật toán, trong đó (AT) – ký hiệu cài đặt an toàn. Cài đặt an toàn được thực hiện theo kỹ thuật mặt nạ hai chia sẻ trong [16]. BẢNG 6. TỐC ĐỘ THỰC THI CỦA SPONGEHASH VÀ KECCAK Thuật toán Tốc độ Mb/s Tên Phiên bản (bit) Cài đặt bình thường Cài đặt an toàn Keccak 256 1101,93 781,25 512 599,70 422,83 SpongeHash 256 925,93 702,99 512 520,83 384,99 SHA-2 256 970 512 640 BẢNG 7. SO SÁNH TỐC ĐỘ CÀI ĐẶT CỦA SPONGEHASH VÀ KECCAK Hàm băm Keccak Phiên bản (bit) 512 256 512 (AT) 256 (AT) S p o n g eH a sh 512 ↓13,1% 256 ↓15,9% 512 (AT) ↓10,0% 256 (AT) ↓8,9% Journal of Science and Technology on Information security 44 No 1.CS (11) 2020 BẢNG 8. TỐC ĐỘ THỰC THI CÀI ĐẶT AN TOÀN SO VỚI CÀI ĐẶT THÔNG THƯỜNG CỦA SPONGEHASH VÀ KECCAK Hàm băm Keccak SpongeHash Phiên bản (bit) 512 256 512 256 K ec ca k 512 (AT) ↓29,4% 256 (AT) ↓29,1% S p o n g eH a sh 512 (AT) ↓26,1% 256 (AT) ↓24,1% Kết quả thống kê thấy rằng, sử dụng S-hộp đề xuất cho tốc độ thực thi có thể so sánh được so với phiên bản nguyên thủy, mặt khác độ an toàn lại được cải thiện. VII. KẾT LUẬN Trong bài báo, nhóm tác giả đã khảo sát độ an toàn hàm băm Keccak dựa trên phân tích tính chất của S-hộp được sử dụng trong nó. Kết quả chỉ ra rằng, các tham số mật mã của S-hộp trong hoán vị Keccak-f đóng vai trò quan trọng ảnh hưởng lên độ an toàn của nó. Trên cơ sở các phân tích này, chúng tôi đề xuất lựa chọn một S-hộp có các tính chất mật mã tốt hơn, thay thế S-hộp này vào hoán vị Keccak-f và thực hiện phân tích sự ảnh hưởng của chúng như đối với hoán vị Keccak-f ban đầu. Kết quả phân tích chứng tỏ S- hộp đề xuất mang lại độ an toàn cao hơn. Với S- hộp đề xuất, bài báo cũng so sánh khả năng cài đặt so với S-hộp gốc (Bảng 4). Một điều cũng dễ hiểu rằng, với cấu trúc đại số phức tạp hơn thì S- hộp đề xuất sẽ có tính chất cài đặt phức tạp hơn so với S-hộp ban đầu. Tuy nhiên, phụ thuộc vào người sử dụng và từng bối cảnh cụ thể, với một tốc độ băm chấp nhận được, trong khi độ an toàn được nâng cao hơn chắc chắn đây là một lựa chọn không tồi trong bối cảnh phát triển của khoa học thám mật mã trong thám mã. Bài báo cũng chưa đề cập đến độ an toàn của đề xuất mới trước thám mã vi sai. Tuy nhiên, S- hộp đề xuất có xác suất vi sai tốt hơn S-hộp nguyên thủy trong Keccak, nó sẽ đảm bảo được rằng hàm băm Keccak sử dụng S-hộp đề xuất có khả năng kháng lại thám mã vi sai và biến thể không kém hàm băm nguyên thủy. Nhóm tác giả sẽ tập trung phân tích những đánh giá theo hướng này ở những nghiên cứu tiếp theo. Một vấn đề mở cũng đặt ra ở đây liên quan đến các tấn công của nhóm Boura và cộng sự [2]- [5], cụ thể với các phân tích của nhóm này mà số vòng của Keccak phiên bản hiện thời đã được tăng lên 24 so với 18 như ở phiên bản đầu tiên. Vì vậy, khi sử dụng S-hộp đề xuất với các tính chất đại số tốt hơn, liệu có thể giảm số vòng được không? Khi đó tốc độ có thể cân bằng được với phiên bản nguyên thủy. TÀI LIỆU THAM KHẢO [1] NIST, SHA-3 Stadard: Permutation-Based Hash And Extendable Output Functions. 8/2015. [2] Boura, C. and A. Canteaut. Zero-sum distinguishers for iterated permutations and application to Keccak-f and Hamsi-256. in International Workshop on Selected Areas in Cryptography. 2010. Springer. [3] Boura, C. and A. Canteaut. A zero-sum property for the Keccak-f permutation with 18 rounds. in 2010 IEEE International Symposium on Information Theory. 2010. IEEE. [4] Boura, C., A. Canteaut, and C. De Canniere. Higher-order differential properties of Keccak and Luffa. in International Workshop on Fast Software Encryption. 2011. Springer. [5] Boura, C. and A. Canteaut. On the algebraic degree of some SHA-3 candidates. in Proceedings of the Third SHA-3 Candidate Conference, Washington DC. 2012. [6] Aumasson, J.-P. and W. Meier, Zero-sum distinguishers for reduced Keccak-f and for the core functions of Luffa and Hamsi. rump session of Cryptographic Hardware and Embedded Systems-CHES, 2009. 2009: p. 67. Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 1.CS (11) 2020 45 [7] Duan, M. and X. Lai, Improved zero-sum distinguisher for full round Keccak-f permutation. Chinese Science Bulletin, 2012. 57(6): p. 694-697. [8] Song, L., G. Liao, and J. Guo. Non-full sbox linearization: applications to collision attacks on round-reduced Keccak. in Annual International Cryptology Conference. 2017. Springer. [9] Qiao, K., et al. New collision attacks on round- reduced Keccak. in Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2017. Springer. [10] Dinur, I., O. Dunkelman, and A. Shamir. New attacks on Keccak-224 and Keccak-256. in International Workshop on Fast Software Encryption. 2012. Springer. [11] Li, M. and L. Cheng. Distinguishing property for full round keccak-f permutation. in Conference on Complex, Intelligent, and Software Intensive Systems. 2017. Springer. [12] Guo, J., et al., Practical collision attacks against round-reduced SHA-3. Journal of Cryptology, 2020. 33(1): p. 228-270. [13] Rajasree, M.S. Cryptanalysis of Round-Reduced KECCAK Using Non-linear Structures. in International Conference on Cryptology in India. 2019. Springer. [14] Bertoni, G., et al. Sponge functions. in ECRYPT hash workshop. 2007. Citeseer. [15] Nguyễn Văn Long. “Phân tích các thành phần mật mã trong hoán vị Keccak-p”. Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin, ISSN 2615-9570, No 08. Vol 02. 2018. [16] Bertoni, G., et al., Keccak implementation overview. URL: neokeon. org/Keccak-implementation-3.2. pdf, 2012. SƠ LƯỢC VỀ TÁC GIẢ TS. Nguyễn Văn Long Đơn vị công tác: Phân viện NCKHMM, Viện KH-CN mật mã, Ban Cơ yếu Chính phủ. Email: longnv@bcy.gov.vn. Quá trình đào tạo: Năm 2008 tốt nghiệp Học viện FSO – Liên bang Nga chuyên ngành “An toàn thông tin các hệ thống viễn thông”. Năm 2015 bảo vệ thành công luận án tiến sĩ tại học viện FSO Liên bang Nga theo chuyên ngành “Các phương pháp bảo vệ thông tin”. Hướng nghiên cứu hiện nay: Nghiên cứu, thiết kế các thuật toán mã đối xứng an toàn, hiệu quả trong cài đặt. ThS. Lê Duy Đức Đơn vị công tác: Khoa Kỹ thuật cơ sở, Học viện Phòng không - Không quân. Email: leduchnnt@gmail.com. Quá trình đào tạo: Năm 2006 tốt nghiệp Học viện Kỹ thuật quân sự; Năm 2014 tốt nghiệp Thạc sĩ tại Học viện Kỹ thuật quân sự. Hướng nghiên cứu hiện nay: vô tuyến điện tử.
File đính kèm:
- de_xuat_s_hop_co_tinh_chat_mat_ma_tot_cho_hoan_vi_cua_ham_ba.pdf