Cryptanalysis and Design of Symmetric Primitives
Total Page:16
File Type:pdf, Size:1020Kb
Cryptanalysis and Design of Symmetric Primitives Inauguraldissertation zur Erlangung des akademischen Grades Doctor rerum naturalium (Dr.rer.nat.) der Bauhaus-Universit¨at Weimar an der Fakult¨at Medien vorgelegt von Michael Gorski Weimar, Dezember 2010 Gutachter: Prof. Dr. Stefan Lucks Bauhaus-Universit¨at Weimar, Weimar (Deutschland) Dr. Orr Dunkelman Weizmann Institute of Science, Rehovot (Israel) Ehrenwortliche¨ Erklarung¨ Ich erkl¨are hiermit ehrenw¨ortlich, dass ich die vorliegende Arbeit ohne unzul¨assige Hilfe Dritter und ohne Benutzung anderer als der angegebenen Hilfsmittel angefer- tigt habe. Die aus anderen Quellen direkt oder indirekt ¨ubernommenen Daten und Konzepte sind unter Angabe der Quelle gekennzeichnet. Weitere Personen waren an der inhaltlich-materiellen Erstellung der vorliegenden Ar- beit nicht beteiligt. Insbesondere habe ich hierf¨ur nicht die entgeltliche Hilfe von Vermittlung- bzw. Beratungsdiensten (Promotionsberater oder anderer Personen) in Anspruch genommen. Niemand hat von mir unmittelbar oder mittelbar geldwerte Leis- tungen f¨ur Arbeiten erhalten, die im Zusammenhang mit dem Inhalt der vorgelegten Dissertation stehen. Die Arbeit wurdebisher weder im In- noch im Ausland in gleicher oder ¨ahnlicher Form einer anderen Pr¨ufungsbeh¨orde vorgelegt. Ich versichere, dass ich nach bestem Wissen die reine Wahrheit gesagt und nichts ver- schwiegen habe. Ort, Datum Unterschrift Acknowledgements First of all I want to thank all the people who helped me to make this thesis successful. I would like to thank my PhD advisors Prof. Dr. Stefan Lucks and Dr. Orr Dunkelman for their support and comments they gave to me helping to force my understanding in cryptography. They inspired and supported me while exploring the world of sym- metric cryptography. I also want to thank Prof. Dr. Johannes Bl¨omer for giving me an interesting topic for my diploma thesis that initialized my research on symmetric cryptography and forced my interest in this topic. I also want to thank Ewan Fleischmann who discussed and developed many ideas with me many times. He always spent his time to enjoy discussions of different aspects in cryptography with me. Furthermore, I thank Christian Forler, who joined the research group of Prof. Dr. Stefan Lucks in 2009. He had huge impact on the success of our TWISTER hash function proposal as well as a fast and efficient implementation of the algorithm. A special thank to Thomas Peyrin for interesting discussions and motiva- tions for my thesis. Thanks to all the people in the crypto community that have given me helpfulcommenton the papersI made. Last butnot least I want to thank my parents for their everlasting support and encouragementin all the things I have done, the things I do and all the things that I will do. Michael Gorski Abstract This thesis focuses on the cryptanalysis and the design of block ciphers and hash func- tions. The thesis starts with an overview of methods for cryptanalysis of block ciphers which are based on differential cryptanalysis. We explain these concepts and also sev- eral combinations of these attacks. We propose new attacks on reduced versions of ARIA and AES. Furthermore, we analyze the strength of the internal block ciphers of hash functions. We propose the first attacks that break the internal block ciphers of Tiger, HAS-160, and a reduced round version of SHACAL-2. The last partof the thesis is concernedwith the analysis and the design of cryptographic hash functions. We adopt a block cipher attack called slide attack into the scenario of hash function cryptanalysis. We then use this new method to attack different variants of GRINDAHL and RADIOGATUN´ . Finally, we propose a new hash function called TWISTER which was designed and pro- posed for the SHA-3 competition. TWISTER was accepted for round one of this com- petition. Our approach follows a new strategy to design a cryptographic hash function. We also describe several attacks on TWISTER and discuss the security issues concern- ing these attack on TWISTER. Zusammenfassung Der Schwerpunkt dieser Dissertation liegt in der Analyse und dem Design von Block- chiffren und Hashfunktionen. Die Arbeit beginnt mit einer Einf¨uhrung in Techniken zur Kryptoanalyse von Blockchiffren. Wir beschreiben diese Methoden und zeigen wie man daraus neue Techniken entwickeln kann, welche zu st¨arkeren Angriffen f¨uhren. Im zweiten Teil der Arbeit stellen wir eine Reihe von Angriffen auf eine Vielzahl von Blockchiffren dar. Wir haben dabei Angriffe auf reduzierte Versionen von ARIA und dem AES entwickelt. Dar¨uber hinaus pr¨asentieren wir im dritten Teil Angriffe auf interne Blockchiffren von Hashfunktionen. Wir entwickeln Angriffe, welche die inter- nen Blockchiffren von Tiger und HAS-160 auf volle Rundenanzahl brechen. Die hier vorgestellten Angriffe sind die ersten dieser Art. Ein Angriff auf eine reduzierte Ver- sion von SHACAL-2 welcher fast keinen Speicherbedarfhat, wird ebenfalls vorgestellt. Der vierte Teil der Arbeit befasst sich mit den Design und der Analyse von kryp- tographischen Hashfunktionen. Wir habe einen Slide Angriff, eine Technik welche aus der Analyse von Blockchiffren bekannt ist, im Kontext von Hashfunktionen zur Anwendung gebracht. Dabei pr¨asentieren wir verschiedene Angriffe auf GRINDAHL und RADIOGATUN´ . Aufbauend auf den Angriffen des zweiten und dritten Teils dieser Arbeit stellen wir eine neue Hashfunktionvor, welche wir TWISTER nennen. TWISTER wurde f¨ur den SHA-3 Wettbewerb entwickelt und ist bereits zur ersten Runde angenom- men. Contents 1 Introduction 1 1.1 Cryptography .............................. 1 1.2 Outline ................................. 3 2 Preliminaries 5 2.1 ABlockCipher ............................. 5 2.2 Preliminaries .............................. 6 2.3 DifferentialCryptanalysis. 8 2.4 Related-KeyDifferentialAttack . 12 2.5 TheBoomerangAttack .... .... .... ... .... .... .. 12 2.6 TheAmplifiedBoomerangAttack . 16 2.7 TheRectangleAttack. .... .... .... ... .... .... .. 17 2.8 TheRelated-KeyBoomerangAttack . 19 2.9 TheRelated-KeyRectangleAttack . 22 2.10AHashFunction ............................ 23 3 Cryptanalysis of Block Ciphers 25 3.1 BoomerangAttackonARIA . 25 3.2 Related-Key Boomerang Attacks on 7 and 9-Round AES-192 . .... 33 3.3 Related-KeyBoomerangAttackon9-RoundAES-256 . .. 48 4 Cryptanalysis of Block Ciphers inside Hash Functions 57 4.1 ARelated-KeyBoomerangAttackonSHACAL-2 . 57 I CONTENTS 4.2 A Related-Key BoomerangAttack on Tiger Block Cipher . .... 65 4.3 A Related-Key Rectangle Attack on the HAS-160 EncryptionMode . 71 5 CryptanalysisandDesignofHashFunctions 81 5.1 SlideAttacksonaClassofHashFunctions . 81 5.2 The SHA-3 Candidate TWISTER .................... 96 6 Summary and Conclusions 123 List of Publications 125 Bibliography 129 A The AES/TWISTER S-box 143 II List of Tables 3.1 ComparisonofattacksonARIA . 26 3.2 ExistingattacksonAES-192 . 34 3.3 ExistingattacksonroundreducedAES-256 . .. 49 4.1 ComparisonofattacksonSHACAL-2 . 58 4.2 ThefixedplaintextbitsforourattackonSHACAL-2 . ... 61 4.3 Attack on SHACAL-2: The Related-Key Differential for E0 ..... 62 4.4 Attack on SHACAL-2: The Differential for E1−1 ........... 63 4.5 ComparisonofattacksonTiger. 65 4.6 ComparisonofattacksonTigerBlockCipher . .. 65 4.7 Attack on Tiger: The Related-Key Differentials for E0 and for E0−1 in thereverseorder............................. 69 4.8 Attack on Tiger: The Related-Key Differential for E1−1 ........ 70 4.9 Attack on HAS-160: Boolean functionsand constants . ..... 72 4.10 Attack on HAS-160: The bit rotation s1 ................ 73 4.11 AttackonHAS-160:Thekeyschedule . 74 4.12 Attack on HAS-160: The Related-Key Differential for E0....... 77 4.13 Attack on HAS-160: The Related-Key Differential for E1....... 78 5.1 TWISTER:MDSProperties.. .... .... ... .... .... .. 110 5.2 Performancecomparison of TWISTER andSHA-2. 122 A.1 TheAES/TWISTER S-box ....................... 143 III IV List of Figures 2.1 Adifferentialcharacteristicoverthreerounds . ....... 11 2.2 Arightboomerangquartet . 15 2.3 Arightrelated-keyboomerangquartet . .. 21 2.4 Arightrelated-keyrectanglequartet . ... 23 3.1 Bytecoordinatesofa4x4statematrixofARIA . 27 3.2 ARIA: The S-box layer SL1 ....................... 27 3.3 ARIA: The S-box layer SL2 ....................... 28 3.4 Attack on 5-round ARIA The differential for E0............ 29 3.5 Attack on 5-round ARIA: The differential for E1−1 .......... 30 3.6 Attack on 5-round ARIA: The differential for E0−1 .......... 31 3.7 Attack on 7-round AES-192: Subkey differences derived from ∆K∗ .. 37 3.8 Attack on 7-round AES-192: Subkey differences derived from ∆K′ .. 37 3.9 Attack on 7-round AES-192: The related-key differential for E0... 38 3.10 Attack on 7-round AES-192: The related-key differential for E1−1 .. 39 3.11 Attack on 7-round AES-192: The related-key differential for E0−1 .. 40 3.12 Attack on 9-round AES-192: Subkey differences derived from ∆K∗ .. 42 3.13 Attack on 9-round AES-192: Subkey differences derived from ∆K′ .. 43 3.14 Attack on 9-round AES-192: The related-key differential for E0... 43 3.15 Attack on 9-round AES-192: The related-key differential for E1−1 .. 44 3.16 Attack on 9-round AES-192: The related-key differential for E0−1 .. 45 3.17 Attack on 9-round AES-256: Subkey differences derived from ∆K∗ .. 51 V LIST OF FIGURES 3.18 Attack on 9-round AES-256: Subkey differences derived from ∆K′ .. 51 3.19 Attack on 9-round AES-256: The related-key differential for E0... 52 3.20 Attack on 9-round AES-256: The related-key differential for E1−1 .. 53 3.21 Attack