I. AES Rijndael. Rijndael - Internal Structure

I. AES Rndael NOKIA T-79.53 Additional material Oct 3/KN Rndael - Internal Structure Rndael is an iterated block cipher with variable length block and variable key size. The number of rounds is defined by the table: Nb = 4 Nb = 6 Nb = Nk = 4 4 Nk = 6 4 Nk = 4 4 4 Nb = length of data block in 3-bit words Nk = length of key in 3-bit words NOKIA T-79.53 Additional material Oct 3/KN

Rndael - Internal Structure irst Initial Round Key Addition 9 rounds, numbered -9, each consisting of Byte Substitution transformation Shift Row transformation Mi Column transformation Round Key Addition A final round (round ) consisting of Byte Substitution transformation Shift Row transformation inal Round Key Addition 3 NOKIA T-79.53 Additional material Oct 3/KN Rndael - Inverse Structure ENCRYPT ( rounds) DECRYPT ( rounds) INV ENCRYPT ( rounds) Initial Round Key Add inal Round Key Add Inv Initial Round Key Add Byte Substitution Inv Shift Row Inv Byte Substitution Shift Row Inv Byte Substitution Inv Shift Row Mi Column Round Key Addition Inv Mi Column Round Key Addition Inv Mi Column Inv Round Key Addition Byte Substitution Inv Shift Row Inv Byte Substitution Shift Row Inv Byte Substitution Inv Shift Row inal Round Key Add Initial Round Key Add Inv inal Round Key Add 4 NOKIA T-79.53 Additional material Oct 3/KN

Rndael- State and Cipher Key a, a, a, a,3 k, k, k, k,3 a, a, a, a,3 k, k, k, k,3 a, a, a, a,3 k, k, k, k,3 a 3, a 3, a 3, a 3,3 k 3, k 3, k 3, k 3,3 5 NOKIA T-79.53 Additional material Oct 3/KN Byte Substitution a, a, a, a,3 a, a, a, a,3 a i,j a, a, a, a,3 S-bo b, b, b, b,3 b, b, b, b,3 b i,j b, b, b, b,3 a 3, a 3, a 3, a 3,3 b 3, b 3, b 3, b 3,3 6 NOKIA T-79.53 Additional material Oct 3/KN

Rndael S-bo Sbo[56] = { 99,4,9,3,4,7,,97, 4,,3, 43,54,5,7,,,3,,5,5, 9, 7,4,73,,6,75,56,64,4,9, 3,53,47, 3, 54, 63,47,4, 5,65,9,4,3,6, 49,, 4,99, 35,95, 4,5, 5,54, 7,,,6,35, 39,7,7, 9,3, 44, 6, 7,, 9,6,, 59,4,79, 4,7, 47,3, 3,9,,37, 3,5,77, 9,6,3,9, 57, 74, 76,,7,,39,7,5, 67, 77, 5,33, 69,49,,7,, 6,59,6,,63, 64,43,46,57, 56,45,,,, 33, 6,55,43,, 96,9, 79,, 34, 4,44,36, 7,3,4,,, 94,,9, 4, 5, 5,, 73, 6, 36, 9,94,,7, 9,45,49,,, 3,, 55,9,4,3, 7,69,, 6,44,34,,,74,, 6,, 37, 46,,66,,9,3,,6, 3, 75,9,39,3,, 6,,, 7, 3,46, 4, 97, 53, 7,5,34,93, 9,5, 5,4,5, 7,5,7,4,4,55, 3,35,33,6, 5, 4,3, 4,6,37, 3,9,3, 66,4, 65,53, 45, 5,76, 4,7, }; 7 NOKIA T-79.53 Additional material Oct 3/KN Rndael S-bo Design View Galois field G( ) with polynomial m() = + 4 + 3 + + The Rndael S-bo is the composition f g where Inv (f g ) = g() = -, G( ),, and g (Inv f) g() = and f is the affine transformation defined by y = f() y o y y y 3 3 = + y 4 4 y 5 5 y 6 6 y 7 7 NOKIA T-79.53 Additional material Oct 3/KN

Shift Row a, a, a, a,3 No shift a, a, a, a,3 a, a, a, a,3 Cyclic left shift by a, a, a,3 a, a, a, a, a,3 Cyclic left shift by a, a,3 a, a, a 3, a 3, a 3, a 3,3 Cyclic left shift by 3 a 3,3 a 3, a 3, a 3, 9 NOKIA T-79.53 Additional material Oct 3/KN Mi Column a,j a, a, a, a,3 a,j a, a, a, a,3 Mi Column b,j b, b, b, b,3 b,j b, b, b, b,3 a,j a, a, a, a,3 b,j b, b, b, b,3 a 3, a 3, a 3, a 3,3 a 3,j b 3, b 3, b 3, b 3,3 b 3,j NOKIA T-79.53 Additional material Oct 3/KN

Mi Column - Implemented The mi column transformation mies one column of the state at a time. Column j: b,j = T (a,j ) T 3 (a,j ) a,j a 3,j b,j = a,j T (a,j ) T 3 (a,j ) a 3,j b,j = a,j a,j T (a,j ) T 3 (a 3,j ) b 3,j = T 3 (a,j ) a,j a,j T (a 3,j ) where: T (a) = *a if a < T (a) = (*a) 3 if a T 3 (a) = T (a) a. NOKIA T-79.53 Additional material Oct 3/KN Mi Column - Design view The columns of the State are considered as polynomials over G( ). They are multiplied by a fied polynomial c() given by c() = 3 3 + + + The product is reduced modulo 4 +. Matri form b,j 3 a,j b,j 3 a =,j b,j 3 a,j b 3,j 3 a 3,j The Inverse Mi Column polynomial is c() - mod ( 4 + ) = d() given by d() = B 3 + D + 9 + E NOKIA T-79.53 Additional material Oct 3/KN

AES salaamisfunktio tila avain k ( r ) = ( = ( k ), ), i, j =,,,3, i, j =,,,3, r =,,...,, r =,,,...,, ( r ) k G( G( ) ) AES operaatio: missä M, S G = (g) () ( r+ ) = p k () = M ( S( ( G( c = S ))) k () () ( ( G( ))) k, r =,,...,9 ovat lineaarisia funktioita kerroinkunnan G( ) missä g : G( ) G( ), g( ) = suhteen, g() = = ( f ) missä f λ on additiivinen funktio kunnassa G( ) 3 NOKIA T-79.53 Additional material Oct 3/KN Murphy-Robshaw : f : Linearisoitu polynomi n esitys linearisoituna polynomina f ( ) = λ + λl + 7 l= missä kertoimet λ ja kaikki laskutoimitukset kunnassa G( l ) l Murphy ja Robshaw upottivat AES:n kahdeksan kertaa suurempaan BES algoritmiin, jonka tilavektorissa 6 tavua, upotuskuvauksella φ( ) = (,,,..., 7 ), G( ) 4 NOKIA T-79.53 Additional material Oct 3/KN

() () = + p + k r =,,..., : = 5 NOKIA T-79.53 Additional material Oct 3/KN Eräs AES yhtälösysteemi ( r ) y + = y + y (merkintä!) = y + ( y ), l =,...,7 l, l 7 = z + λ l+ yl + λ r : = l= 3 ( r+ ) + α, mnzmn m, n= 3 () () = c + β, mnzmn + k m, n= + k konjugointi AES yhtälösysteemit Tässä yhtälöryhmässä 6 = kvadraattista yhtälöä 6 = 336 lineaarista yhtälöä yhteensä 66 yhtälöä 6 tuntematonta tilamuuttujaa 76 tuntematonta avainmuuttujaa (johdettu 6 perusmuuttujasta) avainten johtaminen kuvattavissa samanlaisella yhtälöryhmällä ei näyttäisi olevan ylimääritelty (overdefined) Murphy-Robshaw yhtälöryhmä: yhteensä 5 yhtälöä, joista 34 kvadraattista 56 tilamuuttujaa ja 4 (= 76) avainmuuttujaa avainsysteemissä 56 yhtälöä, joista 96 kvadraattista ja siinä on yhteensä 4 tuntematonta ylimääritelty 6 NOKIA T-79.53 Additional material Oct 3/KN

Yhtälöryhmän ratkaisusta Laskennallinen algebra Uusia tehokkaita menetelmiä polynomiyhtälöryhmien ratkaisemiseksi Gröbnerin kannat Algoritmeja Buchberger 965, 979, 95 augère-gianni-lazard-mora (GLM) 993 4, 5, Algoritmien kompleksisuus ei tunnettu Jos ratkaisua ei löydy, niin ratkaisun kompleksisuutta ei pystytä määrittämään. Useita jonosalausalgoritmeja ratkaistu (murrettu). AES ei ole ratkennut. Uusi testi ja suunnittelukriteeri symmetrisille salaamisalgoritmeille. 7 NOKIA T-79.53 Additional material Oct 3/KN. Linear and differential cryptanalysis for eistel ciphers NOKIA T-79.53 Additional material Oct 3/KN

Principles of Linear Cryptanalysis 4 b a b b a b a a b b Net we shall determine the probability of the two round linear approimation given the probabilities r(a,b ) and r(a,b ). or that purpose we prove the following result. 9 NOKIA T-79.53 Additional material Oct 3/KN eistel salaajan differentiaalinen kryptoanalyysi L o =a b R o =a b a L R b a L =a R =a b Todennäköisyys p(a,b ) p(a,b ), Tällainen todennäköinen relaatio on differentiaalinen karakteristika. NOKIA T-79.53 Additional material Oct 3/KN

bektio eistel salaaja Bektiivinen kierrosfunktio: Viiden kierroksen mahdoton differentiaalinen karakteristika α α β γ β γ α NOKIA T-79.53 Additional material Oct 3/KN