Presentazione dell'algoritmo finalista al NIST:MARS

1. PRESENTATION
NIST Finalist: MARS
Carolynn Burwick Don Coppersmith Edward D’Avignon
Rosario Gennaro Shai Halevi Charanjit Jutla
StephenM. Matyas Jr. Luke O’Connor Mohammad Peyravia
David Safford Nevenko Zunic
IBM Corporation
Alunno: Zaramella Riccardo
Corso: Data hiding A.A. 2007/08

2. OUTLINE
I. General view
II. Choices
III. Structure
IV. Phases
V. Expected strength
VI. NIST valutation
VII. Summary Attack
VIII. MARS vs RIJD(AES)
IX. Why Rijndael?
Zaramella Riccardo Data Hiding A.A. 2007/08

3. General Purpose
✔ MARS ha come input four 32­bit plaintext data words A, B, C, D
✔ MARS fornisce come output four 32­bit ciphertext data words A',B', C', D'
✔ Il cipher è word­oriented
✔ Chiavi da 128÷400 bits
✔ MARS è una type­3 Feistel network
✔ Diviso in 3 fasi: una 16­round “cryptographic core” phase inserita tra due layers di 8­round
“forward” e “backwards mixing”
Zaramella Riccardo Data Hiding A.A. 2007/08

4. FIRST LOOK
FASE 1
✔ Aggiunta delle key
✔ 8 rounds di S­box basati
su reti di Feistel type 3
FASE 2
✔ 16 rounds di S­box di reti
di Feistel type3
✔ Assicura la stessa
robustezza in encryption e
decryption
FASE 3
✔ Inversa della fase 1
✔ 8 rounds di S­box basati
su reti di feistel type 3
✔ Sottrazione delle key
Zaramella Riccardo Data Hiding A.A. 2007/08

5. SCELTE di progetto
Operazioni definite “Strong” ben supportate dai
➢ Operazioni moderni calcolatori e che permettono buone proprietà
di sicurezza
✔ xors
✔ Add,Sub
✔ Table look-up
✔ Data-dipendent rotation
➢ Struttura I primi e gli ultimi rounds hanno un ruolo diverso dai
rounds centrali soprattutto nella protezione ad attacchi di
CRIPTOANALISI.
✔ MARS è stato progettato con una
struttura mista
➢ Analisi È composto da operazioni semplici che permettono
un’analisi estesa
Zaramella Riccardo Data Hiding A.A. 2007/08

6. SCELTE operative
o Mars utilizza parole di 4 Bytes, l’algoritmo è
✔ Word Oriented
➢ Parole 32 ✔ Endian­Neutral
Possibilità di
bits o Buon trade­off tra: Velocità di
e
trarre beneficio
esecuzione da tecnologie
future
➢ Feistel network Manipola in maniera ottimale blocchi di 4 parole.
In ogni round una DATA­WORD è usata per
Type 3 modificare tutte le atre DATA­WORD.
✔ Migliore diffusione con un piccolo costo aggiuntivo
Mi permette di raggiungere lo stesso grado di sicurezza sia
➢ contro gli “Chosen chipertext attaks” si contro gli “Chosen
Simmetria Plaintext attacks”
✔ L’ultima metà dei rounds è pressoché
un’immagine della prima metà
Zaramella Riccardo Data Hiding A.A. 2007/08

7. Mixing structure
✔ Simmetrico
✔ Uso di S­box con reti di Feistel type3
✔ Layer centrale è progettato diversamente
dai “wrapped layer”
✔ Ha due differenti strutture ed è piu
flessibile rispetto ad un chiper omogeneo
✔ Protegge da nuove tecniche di
criptoanalisi
✔ Le S­box sono state progettate in modo
deterministico
✔ Con i “Wrapped layer” solo 5 dei 16
rounds del Core sono stati attaccati[NIST]
Zaramella Riccardo Data Hiding A.A. 2007/08

8. Fase 1 Forward Mixing
✔ Aggiunta della chiave
b0
b1 ✔ Reti di Feistel combinate con
operazioni di mixaggio
b2
✔ S0 e S1 sono reti di Feistel a 256
b3 parole di 32 bits
✔ 8 rounds con rotazione di parole
✔ Ogni parola DATA(Source Word) è
usata per modificare le atre tre parole
DATA(Target Word)
✔ Alla fine dei rounds 1,5,2 e 6 viene
sommata alla parola di source una parola di
target
● Difende la fase di mixing da facili
atacchi differenziali
Zaramella Riccardo Data Hiding A.A. 2007/08

9. Fase 2 Cryptografic Core
● 16 rounds
● Reti di Feistel type 3(con E­function) Per ogni Round:
✔ Combinazione di operazioni semplici
✔ Utilizzo di una parola per cambiare
le altre
✔ Utilizzo della E­funcion
✔ R,M,L variabili temporali indipendenti
Zaramella Riccardo Data Hiding A.A. 2007/08

10. Fase 3 Backward Mixing
b0
✔ Reti di Feistel combinate con
b1 operazioni di mixaggio
b2 ✔ S0 e S1 sono reti di Feistel a 256
parole di 32 bits
b3
✔ 8 rounds con rotazione di parole
✔ Ogni parola DATA(Source Word) è
usata per modificare le atre tre parole
DATA(Target Word)
✔ Sottrazione della chiave
✔ Alla fine dei rounds 3,7,4 e 8 viene
sottratta alla parola di source una parola di
target
● Difende la fase di mixing da facili
atacchi differenziali
Zaramella Riccardo Data Hiding A.A. 2007/08

11. MARS: Expected strength
TERMINOLOGIA:
➢ Data Complexity: numero di coppie (Plaintext,Chipertext) necessarie ad un attaccante per
distinguere il chiper da una permutazione random
➢ Work Load: numero di operazioni che un attaco deve compiere (≥ Data Complexity)
➢ Security Level: rapporto tra il work load e la probabilità di successo dei l'attacco
➢ Key Probability: probabilità che una chiave abbia determinate caratteristiche
Stima:
✔ Con una chiave di n­bits il Security Level atteso è 2n
✔ Linear Attack Data complexity ≥ 2128
✔ Differential Attack Key Probability ≤ 2­156
Zaramella Riccardo Data Hiding A.A. 2007/08

12. MARS: valutation of NIST
➢ General security: Usa sia data dependent rortation an S­boxes con componenti non lineari.
La struttura eterogenea dell'algoritmo fornisce alti margini di sicurezza.
Ha ricevuto critiche per la sua complessità.
➢ Software implementation: L'efficenza del software dipende da come la combinazione
processore/linguaggio elabora le moltiplicazioni a 32­bits e le
operazioni di variable rotation.
➢ Restricted­space environments: A causa della grossa richiesta di ROM dell'algoritmo
MARS non è indicato per ambienti restricted­space.
✔ MARS 4059(encryption)+4077(decryption+key setup)
✔ RIJN 879(encryption)+879(decryption+key setup)[Bytes]
➢ Attacks on implementation: Implementando MARS in device vulnerabili a timing&power
attacks l'algoritmo e difficile da difendere a causa dell'uso di
moltiplicazioni,variable rotation e addizioni.
➢ Encription VS Decription: Dato che le due fasi sono molto simili le prestazioni non variano
significativamente
Zaramella Riccardo Data Hiding A.A. 2007/08

13. Summary ATTACK
➢ Attacchi su versioni semplificate
dell'algoritmo
➢ Stima di sicurezza
Criteri:
Text: Numero di plaintext e corrispondeti
chipertext criptati con un chiave
Mem Bytes: Memoria da usare per tutta la
durata dell'attacco
Ops: Numero necessario di operazioni
per portare a termine l'attacco
Zaramella Riccardo Data Hiding A.A. 2007/08

14. Overall
Zaramella Riccardo Data Hiding A.A. 2007/08

15. MARS vs RIJD
MARS RIJD
Adeguati margini di
General security Alti margini di sicurezza
sicurezza
Software Performance medie di enc& dec
dipendenti da come il
Buone medie su
diverse piattaforme
implementation processore elabora operazioni con chiavi di 128 bits
Restricted­space richiesta ROM molto alta, inoltre
il key­schedule richiede risorse
Basse richieste di
ROM e RAM
environments aggiuntive
Atacks on Difficile da difendere da Timing e
Molto facile da
difendere da
implementation power attack
power&timing attack
Le due fasi sono molto
Encryption VS Necessitano di poca area differenti, anche se
aggiuntiva l'una dall'altra posso ondividere le
Decription risorse HW
Zaramella Riccardo Data Hiding A.A. 2007/08

16. WHY Rijndael
➢ “Each of the finalist algorithms appears to offer adequate security”
➢ “Each if the finalist offers a considerable number of advantages”
➢ “Each algorithm also has one or more areas where it does not fare quite as well as
some other algorithm”
NONE OF THE FINALIST IS OUTSTANDINGLY SUPERIOR
TO THE REST
Rijndael:
➢ “Rijndael appears to be consistently a very good performer in both hardware and
software across a wide range of computing environments”
➢ “Rijndael’s very low memory requirements”
➢ “It appears that some defense can be provided against timing&power attacks without
significantly impacting Rijndael’s performance”
➢ “Designed with some flexibility in terms of block and key sizes”
Zaramella Riccardo Data Hiding A.A. 2007/08

17. Reference
✔ Report on the Development of the Advanced Encryption Standard (AES)
✔ MARS ­ a candidate cipher for AES
✔ The MARS Encryption Algorithm
Zaramella Riccardo Data Hiding A.A. 2007/08