Efficient Symmetric Primitives for Advanced Cryptographic Protocols (A Marvellous Contribution) 学习笔记

最新推荐文章于 2024-05-19 18:36:57 发布

原创最新推荐文章于 2024-05-19 18:36:57 发布 · 340 阅读

2 ·

CC 4.0 BY-SA版权

基础理论专栏收录该内容

152 篇文章

订阅专栏

本文详细探讨了Rijndael-128的S-Box优化，特别是SubBytes和SubWords，以及MiMC、Vision和Rescue加密算法的构造与特性。重点在于这些算法在Sponge结构、AES-128的改进和零知识证明（ZK-STARK和R1CS）中的性能对比。讨论了基于F2n/mm和Fp的加密技术，并涉及MPC中的masked operation应用。

1. 引言

Aly等人2019年论文《Efficient Symmetric Primitives for Advanced Cryptographic Protocols (A Marvellous Contribution)》。

sponge结构用于构建hash函数 from an underlying permutation by iteratively applying it to a large state。该state包含 $b = r + c$ 位，其中：

$r$ ：为sponge rate
$c$ ：为sponge capacity

可将长度变化的input，通过在每次递归过程中absorb input中的 $r$ bit，hash为任意长度的output。

2. Rijndael-128 block cipher

Rijndael-128 cipher，俗称AES-128，包含了5个基础块：

AddRoundKey
SubBytes
MixColumns
ShiftRows
ExpandKey（其中包含SubWords、AddWords、RotWords和AddConstants）

本文主要关注S-Boxes的调整（即SubBytes和SubWords）。
每个S-Box以一个字节为单位进行处理，S-Box $(z) = g (f (z))$ ，其中：

$f$ 函数（求倒数函数）： $f:\mathbb{F}_{2^8}\rightarrow \mathbb{F}_{2^8}:x\mapsto x^{254}$ ，为adapted multiplicative inverse function over $\mathbb{F}_{2^8}$ 。可抵抗differential攻击和linear攻击，同时可支持与MixColumns和ShiftRows扩散函数一起用于wide trail design strategy。【注意，有限域内有： $x^{p-1} \mod p\equiv 1$ ，从而有倒数运算： $x^{-1}=x^{p-2}$ 。】
$g$ 函数（affine多项式）： $g:\mathbb{F}_{2}^8\rightarrow \mathbb{F}_2^8: x\mapsto Mx+b$ ，为 SubBytes step 中的affine transformation。其中 $M\in\mathbb{F}_2^{8\times 8}, b\in \mathbb{F}_2^8$ 。这种转换有助于增加S-Box结果的复杂性，以抵抗algebraic 攻击。
当affine transformation针对 $\mathbb{F}_{2}$ 时，则整个S-Box可以如下多项式表示（over $\mathbb{F}_{2^8}$ ）：
S-Box $\cdot z^{254}+0x09\cdot z^{253}+0xF9\cdot z^{251}+0x25\cdot z^{247}+0xF4\cdot z^{239}+0x01\cdot z^{223}+ 0xB5\cdot z^{191} +0x8F\cdot z^{127}+0x63$

3. MiMC

MiMc的构建方式有：

采用Albrecht等人2016年论文《Mimc: Efficient encryption and cryptographic hashing with minimal multiplicative complexity》中的block cipher构建，表示为MiMC-q/q：（其中 $q$ 为prime或为 prime power of 2。）在每一个round，每个state仅包含一个field element，包含一个field element in $\mathbb{F}$ 会做立方运算，再与随机常量 $C_i$ 相加，每一个round插入的key $K$ 是完全相同的。对于128位状态，需要82 rounds就足够。
采用Feistel network构建，表示为MiMC-2p/p：（其中 $p$ 为prime或为 prime power of 2。）在每一个round，每个state包含2个 $\mathbb{F}_p$ elements，分别表示为 $x_L$ 和 $x_R$ 。第 $l$ round的函数为：
$x_L||x_R\leftarrow x_R+(x_L+K+C_l)^3||x_L$
其中 $K$ 为key， $c_l$ 为第 $l$ round常量。对于128位状态，需164 rounds就足够。

4. Vision

采用Rijndael-128 block cipher，针对的field为 $\mathbb{F}_{2^{n/m}}^{m}$ ，具有 $n$ -bit staten、 $n$ -bit key和 $n$ bits security。
Vision的最小round数为10，推荐round数为 $2\left \lceil n/5.5m \right \rceil$ 。
Vision中：

$f$ 函数（求倒数函数）为：

$g$ 函数（affine多项式）为：奇数步为 $B^{-1}(x)$ ，偶数步为 $B (x)$ 。

key schedule：是指基于一个key派生出所有round keys的算法。（calculates all the round keys from the key）。
Vision的key schedule为：
在这里插入图片描述

详细的Vision算法实现为：
在这里插入图片描述

5. Rescue

与Vision类似，但是其针对的域为 $\mathbb{F}_p$ ，而不是 $\mathbb{F}_{2^{n/m}}$ 。
Rescue的最小round数为10，推荐round数为 $2\left \lceil s/4m \right \rceil$ ，其中 $s$ 为security level。
其中：

inverse power map为：（大多数域，选 $\alpha=3$ 就足够，但是对于 $2^{255}-19$ ，不满足 $g c d (p - 1, 3) = 1$ ，可选择 $\alpha=5$ 。对应的security level为 $log_{2}(p^m)$ bits，即 $m$ 乘以 $p$ 的二进制表示位数。）

Rescue over $\mathbb{F}_p^m$ carries $m$ field element as its state which goes through a nonlinear operation, an MDS matrix $M$ ， and a key injection in each step。
Rescue中每一个round分为2个step：
在这里插入图片描述
详细的Rescue算法实现为：