Cryptanalysis of Two Authenticated Encryption Schemes Pr∅st and NORX Introduced in CAESAR

Mahmoudi, Ali; Aref, Mohammad Reza Mohajeri, Javad

Please enable javascript in your browser.

Cryptanalysis of Two Authenticated Encryption Schemes Pr∅st and NORX Introduced in CAESAR

Mahmoudi, Ali | 2015

3024 Viewed

Type of Document: M.Sc. Thesis
Language: Farsi
Document No: 48093 (05)
University: Sharif University of Technology
Department: Electrical Engineering
Advisor(s): Aref, Mohammad Reza; Mohajeri, Javad
Abstract:
The goal of authenticated encryption is to ensure confidentiality, integrity and authenti-cation of the messages simultaneously. The anouncement of CAESAR comptetition has attracted esearchers’ attention to this branch of symmetric cryptography, since 2014. 57 schemes have been introduced as the first round candidates of this competition, from which 29 where selected as second round candidates. Cryptanalysis of these schemes needs a lot of collective effort. In this thesis after describing preliminaries of authen- ticated encryption, general structure of the schemes and their reported cryptanalysis is reviewed. Then, the details of Pr∅st family of authenticated encryption, which is one of the second round candidates of CAESAR, is studied and an existential forgery attack is mounted on one of its versions, named pr∅st-OTR, in a related key setting. This attack exploits the weakness of Even-Mansour constructions, which have been used in an OTR mode of operation, against related key attacks. Subsequently, this attack is promoted to a universal forgery. If the adversary can query ciphertexts for chosen messages under the related keys K ⊕ ∆1 and K ⊕ ∆2 then he can forge ciphertext and authentication tag for any message under the key K with a negligible complexity. In addition, suggestions are made to immune Pr∅st-OTR against these attacks. Furthermore, the authenticated encryption scheme, NORX which has been accepted as a second round candidate, is studied. After introducing mathematical models for the propagation of differences in the nonlinear operation of NORX, some methods for distinguishing the output of this scheme from a random generator is presented for the case where the number of rounds parameter is set to 1 or 2. This proves that the scheme is not nonmalleable in the case where the number of rounds parameter is set to 1 and it is not secure to choose the round parameter less than 3. Also, a forgery attack is intoduced for the case where the number of rounds parameter is set to 1. In this attack, adversary can forge the authentication tag after 261 queries with a success probability near one for NORX64. According to the security claims of designers this probability should be 2−195. And for NORX32 the ad- versary needs to query the encryption oracle with 251 different nonces to forge the tag with a probability nea one. Again, according to the designers’ claims this probability should be around 2−7
Keywords:
Symmetric Cryptography ; Distinguish Attack ; Related-Key Cryptanalysis ; Differential Cryptoanalysis ; Authenticated Encryption ; Forgery Attack

Digital Object List

محتواي کتاب
view

Bookmark

مقدمه
- پیش‌گفتار
- ساختار پایان نامه
پیشینه‌ی رمزنگاری توأم با احراز اصالت
- مقدمه
- تعاریف و مفاهیم اولیه
  - انواع امنیت
  - امنیت اثبات پذیر
    - اثبات براساس کاهش
    - اثبات‌های مبتنی بر بازی
  - چند اصطلاح
  - انواع مدل‌های حمله
  - حملات عام
  - حملات به توابع چکیده‌ساز
- روش ترکیب عمومی
- طرح‌های رمزنگاری احراز اصالت شده پیش از مسابقه‌ی سزار
  - طرح‌های یک مرحله‌ای
    - طرح IAPM
    - طرح‌های XCBC و OCB
  - طرح‌های دو مرحله‌ای
    - طرح CCM
    - طرح EAX
    - طرح CWC
  - طرح‌های اختصاصی
    - طرح Helix
    - طرح SOBER-128
    - طرح Grain-128-a
    - طرح ALE
    - طرح FIDES
  - طرح GCM
- مسابقه‌ی سزار
- جمع بندی و نتیجه گیری
تحلیل و بررسی نامزدهای دور اول مسابقه‌ی سزار
- مقدمه
- رده‌بندی طراحی‌ها
  - زیرساخت‌های به کارگرفته شده در طرح‌ها
  - شیوه‌های رمزگذاری
  - روش‌های نقاب‌گذاری
  - ویژگی‌های کارکرد طرح‌ها
- امنیت
  - تمایزگر
  - حریم خصوصی
  - یکپارچگی
  - مفاهیم امنیتی دیگر
  - قضیه‌ی Shrimpton
  - بیان کمی امنیت
  - مقاومت
- تحلیل‌های انجام شده روی طرح‌های مسابقه‌ی سزار
  - طرح‌های شکسته شده
  - تحلیل بقیه‌ی طرح‌ها
- بحثی پیرامون تعاریف امنیتی و تحلیل‌های انجام شده
- جمع بندی و نتیجه گیری
حمله‌ی کلیدهای وابسته به st-OTRPr
- مقدمه
- معرفی Prst
  - جایگشت Prst
    - Prst-128 و Prst-256
  - Prst-OTR-n
  - Prst-COPA و Prst-APE
- حمله جعل کلیدهای وابسته به Prst-OTR
  - ایده‌ی حمله
  - جعل متن رمزشده
  - جعل برچسب اعتبار
- ارتقای حمله‌ی جعل وجودی به جعل فراگیر
  - جعل تقریباً فراگیر
  - جعل فراگیر
- حمله‌ی بازیابی کلید به Prst-OTR
  - حمله‌ی عام بازیابی کلید به ساختارهای Even-Mansour
    - حمله‌ی بازیابی کلید به ساختار r دوری با کلیدهای مستقل
    - حمله به ساختار دو دوری با کلیدهای یکسان
  - اعمال حمله به Prst-OTR
- جمع بندی و نتیجه گیری
حملات تمایز و جعل به NORX
- مقدمه
- معرفی NORX
  - نمادها
  - پارامترها و مشخصات
  - رمزگذاری
  - رمزگشایی
  - ساختار کلی
  - تابع F
  - اهداف امنیتی
- بررسی تحلیل‌های انجام شده روی NORX
  - تحلیل تفاضلی NORX
    - مدل ریاضی انتشار تفاضل‌ها در تابع F
    - باند پایینی برای وزن تفاضل‌ها در FR
  - تحلیل گردشی
  - تحلیل تفاضلی مرتبه‌ی بالاتر
- حمله‌ی جعل و تمایز
  - حمله‌ی تمایز
    - تعریف یک تمایزگر
    - روش اول
    - روش دوم
    - تعمیم حمله به دو دور
    - کاربرد عملی
    - یک تمایزگر دیگر
  - حمله‌ی جعل
- بررسی چند ایده‌ی تحلیل دیگر
  - حالت‌های ضعیف
  - حمله‌ی لغزنده
  - حمله‌ی روز تولد
- جمع‌بندی و نتیجه‌گیری
نتیجه‌گیری و کارهای آینده
- خلاصه و جمع‌بندی
- پژوهش‌های آتی
رمزگذاری و احراز اصالت پیام در NORX
بیت‌های بدون تغییر پس از اعمال تابع F1
تفاضل‌های خروجی پس از اعمال تابع F1
مراجع

Friend's email
Your name
Your email
enter code