Trivium (шифр)

Trivium — симетричний алгоритм синхронного потокового шифрування, орієнтований, в першу чергу, на апаратну реалізацію з гнучкою рівновагою між швидкістю роботи і кількістю елементів, що має також можливість досить ефективної програмної реалізації.

Шифр був представлений в грудні 2008 року як частина портфоліо європейського проекту eSTREAM, за профілем 2 (апаратно-орієнтовані шифри). Авторами шифру є Крістоф Де Канньєр і Барт Пренел.

Даний потоковий шифр генерує аж до ${\displaystyle 2^{64}}$ біт вихідного потоку з 80 біт ключа і 80 біт IV (вектора ініціалізації). Це — найпростіший шифр проекту eSTREAM, який показує відмінні результати по криптостійкості.

Trivium включений в стандарт ISO/IEC 29192-3 як легкий потоковий шифр.

Початковий стан Trivium являє собою 3 зсувних регістри сумарної довжини в 288 біт. Кожен такт відбувається зміна бітів в регістрах зсуву шляхом нелінійної комбінації прямого і зворотного зв'язку. Для ініціалізації шифру ключ K і ініціалізувалися вектор IV записуються в 2 з 3х регістрів і відбувається виконання алгоритму протягом 4х288 = 1152 раз, що гарантує залежність кожного біта початкового стану від кожного біта ключа і кожного біта ініціалізувального вектора.

Після проходження стадії ініціалізації кожен такт генерується новий член ключового потоку Z, який проходить процедуру XOR з наступним членом тексту. Процедура розшифровки відбувається в зворотному порядку — кожен член шифротексту проходить процедуру XOR з кожним членом ключового потоку Z.^[1]

Trivium генерує послідовність Z, так званий ключовий потік, довгою аж до ${\displaystyle N\leq 2^{64}}$ біт. Для шифрування повідомлення необхідно провести операцію XOR від повідомлення і ключового потоку. Розшифровка проводиться аналогічним чином виконується операція XOR від шифротексту і ключового потоку.

Алгоритм ініціалізується завантаженням 80 бітного ключа і 80 бітного ініціалізуючого вектора в 288 бітний початковий стан. Ініціалізація може бути описана наступним псевдокодом.

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (K_{1},...,K_{80},0,...,0)}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (IV_{1},...,IV_{80},0,...,0)}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (0,...0,1,1,1)}$

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ 4\cdot 288\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

Процедура ініціалізації гарантує те, що кожен біт початкового стану залежить від кожного біта ключа і кожного біта не ініціалізуючого вектора. Даний ефект досягається вже після 2х повних проходів (2 * 288 виконань циклу). Ще 2 проходи призначені для ускладнення бітових взаємозв'язків. Для прикладу перші 128 байт ключового потоку Z, отриманого від нульового ключа і ініціалізуючого вектора, мають приблизно однакову кількість рівномірно розподілених 1 і 0. Навіть при найпростіших і однакових ключах алгоритм Trivium видає послідовність чисел, близьку до випадкової.

0000000 e0 fb 26 bf 59 58 1b 05 7a 51 4e 2e 9f 23 7f c9
0000010 32 56 16 03 07 19 2d cf a8 e7 0f 79 b2 a1 cd e9
0000020 52 f7 03 92 68 02 38 b7 4c 2b 75 1a a2 9a 9a 59
0000030 55 28 98 49 74 6e 59 80 80 03 4c 1a a5 b5 f2 d4
0000040 34 69 bb 86 ca 52 15 b3 ae 80 12 69 73 55 9a 31
0000050 b2 6c 0e f5 16 40 20 d6 30 7f 4e 3f 48 16 dc 24
0000060 25 5c ad c4 10 a1 c9 1b bb e8 01 4e dc fc 2e 27
0000070 9e fa ae 02 a2 48 05 b2 2e fb f4 4f 27 76 56 27
0000080 3e 5e b7 06 4e e6 4a 57 7b ad a2 3a 1c 52 ff 48
0000090 f3 92 f8 87 ff 98 aa 87 e6 bf f6 19 38 3c ff 19
00000a0 3f 0a a5 fd 01 ec d0 d8 fa f0 fa 87 09 a1 4e ee
00000b0 63 29 9f 9b 31 ef 95 a5 c7 76 19 8d c7 e0 df 55
00000c0 1b 0f 50 e9 b8 91 85 ea 06 7b d5 2a ad 2b 77 f4
00000d0 ac 84 9b 6d 3f 2e a9 85 99 d7 04 95 02 33 fd f0
00000e0 b7 f8 5b 6e b7 c8 f0 b4 46 aa 20 cd a0 dd dd 4f

Генератор потоку використовує 15 біт з 288битного початкового стану для зміни 3х біт стану та обчислення 1 біта ключового потоку ${\displaystyle z_{i}}$. В результаті роботи алгоритму може бути отримано до ${\displaystyle N\leq 2^{64}}$ біт ключового потоку. Алгоритм може бути описаний наступним псевдокодом.

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ N\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{93}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{177}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{288}}$

${\displaystyle z_{i}\leftarrow t_{1}+t_{2}+t_{3}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

В даному псевдокоді всі обчислення проводяться за модулем 2. Тобто операції додавання і множення є операціями XOR і AND.

Період ключового потоку складно визначити, за нелінійного характеру змін початкового стану. Навіть якщо відкрити всі тригери AND, що призведе до повністю лінійною схемою, можна показати, що будь-яка пара ключа і ініціалізуючого вектора приведе до генерації ключового потоку з періодом порядку ${\displaystyle 2^{96-3}-1}$ (що вже перевершує необхідну довжину ключового потоку ${\displaystyle 2^{64}}$).

Якщо ж припустити, що Trivium починає генерувати випадковий ключовий потік, після невеликої кількості ітерацій, то всі згенеровані послідовності, довжиною до ${\displaystyle 2^{288}}$ будуть рівноймовірні. А також ймовірність того, що пара ключ/ініціалізувалися вектор згенерують ключовий потік з періодом менше, ніж ${\displaystyle 2^{80}}$ буде порядку ${\displaystyle 2^{-208}}$^[2].

Модифікації даного шифру відрізняються кількістю регістрів зсуву і їх довжинами.

Шифр Univium складається з одного регістра зсуву, для кодування необхідний тільки ключ довжиною, що не перевищує довжину регістра.^[1]

Разом з Trivium його автори запропонували шифр Bivium, в якому реалізовані тільки 2 зсувних регістра сумарної довжини 177 біт. Процес ініціалізації аналогічний Trivium. Кожен такт змінюються 2 біти стану і формується новий біт ключового потоку. По генерації ключового потоку Z розрізняють 2 версії: Bivium-A і Bivium-B(Bivium). У Bivium-A реалізована пряма залежність нового члена Z від зміненого стану біта ${\displaystyle z_{i}\leftarrow t_{1}}$, на відміну від неї в Bivium-B (Bivium) ${\displaystyle z_{i}\leftarrow t_{1}+t_{2}}$.^[3]

Toy-версії були отримані шляхом зменшення довжин регістрів, що дозволило знизити обчислювальну складність алгоритму, при цьому зберігаючи всі математичні властивості. Довжина кожного регістра скорочувалася в 3 рази, причому Bivium-toy також складалася лише з двох регістрів.

Кожна модифікація шифру Trivium створена для спрощення його математичного опису, що має більше навчальну мету, ніж мету застосувати їх у засобах захисту інформації.^[4]

Стандартна апаратна реалізація алгоритму вимагає наявності 3488 логічних елементів і виробляє 1 біт ключового потоку за 1 такт. Але, так як кожний новий стан біта не змінюється принаймні протягом 64 раундів, то ще 64 стану можуть бути згенеровані паралельно при збільшенні кількості логічних елементів до 5504. Також можливі різні варіації продуктивності в залежності від кількості використаних елементів.

Програмна інтерпретація даного алгоритму також досить ефективна. Реалізація Trivium на мові C на процесорі AthlonXP 1600+ дозволяє отримати швидкість шифрування понад 2,4 Мбіт/с

На відміну від ранніх потокових шифрів, як наприклад RC4, алгоритм Trivium, крім закритого ключа (K) також має ініціалізуючий вектор (IV), який є відкритим ключем. Застосування IV дозволяє проводити безліч незалежних сеансів шифрування/розшифрування використовуючи всього лише 1 ключ і кілька ініціалізуючих векторів (по одному для кожного сеансу). Також можна використовувати кілька ініціалізуючих векторів для одного сеансу, використовуючи для кожного нового повідомлення новий IV

В даний момент не відомо жодних методів атаки на даний алгоритм, які були б ефективніше послідовного перебору (або брутфорса (англ. brute force)). Складність проведення даної атаки залежить від довжини повідомлення і становить близько ${\displaystyle 2^{120}}$.

Існують дослідження методів атак (наприклад кубічна атака^[5]), які близькі по ефективності до перебору. Крім того, існує метод атаки, що дозволяє відновити K з IV і ключового потоку. Складність даної атаки дорівнює ${\displaystyle 2^{135}}$ і незначно зменшується при збільшенні кількості инициализирующих векторів, що використовувалися з одним ключем. Можливі також атаки з дослідженням псевдовипадковою послідовності ключового потоку з метою знаходження закономірностей і передбачення подальших біт потоку, але дані атаки вимагають вирішення складних нелінійних рівнянь. Найменша отримана складність такої атаки становить ${\displaystyle 2^{164}}$^[6][7]

Практично всі досягнення в області злому Trivium являють собою спроби застосувати атаки, вдало проведені на усічених версіях алгоритму. Найчастіше, досліджуваним використовується версія алгоритму Bivium, в якому використовується лише 2 зсувних регістра сумарної довжини 192 біта.

• Trivium на сторінці проекту eSTREAM [Архівовано 23 вересня 2015 у Wayback Machine.]
• Опис алгоритму на сторінці проекту eSTREAM [Архівовано 20 вересня 2015 у Wayback Machine.]
• Принципи побудови потокових шифрів [Архівовано 26 травня 2011 у Wayback Machine.]