CLEFIA

Две ${\displaystyle F}$-функции ${\displaystyle F_{0}}$ и ${\displaystyle F_{1}}$, используемые в ${\displaystyle GFN_{d,r}}$, включают в себя нелинейные 8-битные S-блоки ${\displaystyle S_{0}}$ и ${\displaystyle S_{1}}$, рассмотренные далее, и матрицы ${\displaystyle M_{0}}$ и ${\displaystyle M_{1}}$ размером ${\displaystyle 4\times 4}$. В каждой ${\displaystyle F}$-функции эти S-блоки используются в различном порядке, и применяется своя матрица распространения для умножения в поле Галуа. На рисунках показана содержательная часть ${\displaystyle F}$-функций[4]. ${\displaystyle F}$-функции определяются следующим образом:

${\displaystyle F_{0},F_{1}:{\begin{cases}\{0,1\}^{32}\times \{0,1\}^{32}\rightarrow \{0,1\}^{32}\\(RK_{(32)},x_{(32)})\rightarrow y_{(32)}\end{cases}}}$

Функция ${\displaystyle F_{0}}$
 Шаг 1. ${\displaystyle T=RK\oplus x}$
 Шаг 2. ${\displaystyle T_{0}=S_{0}(T_{0}),\ T_{1}=S_{1}(T_{1}),\ T_{2}=S_{0}(T_{2}),\ T_{3}=S_{1}(T_{3}),\ {\mbox{where}}\ T=T_{0}|T_{1}|T_{2}|T_{3},\ T_{i}\in \{0,1\}^{8}}$
 Шаг 3. ${\displaystyle {\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{0}{\begin{pmatrix}T_{0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix}},\ {\mbox{where}}\ y=y_{0}|y_{1}|y_{2}|y_{3},\ y_{i}\in \{0,1\}^{8}}$

Функция ${\displaystyle F_{1}}$
 Шаг 1. ${\displaystyle T=RK\oplus x}$
 Шаг 2. ${\displaystyle T_{0}=S_{1}(T_{0}),\ T_{1}=S_{0}(T_{1}),\ T_{2}=S_{1}(T_{2}),\ T_{3}=S_{0}(T_{3}),\ {\mbox{where}}\ T=T_{0}|T_{1}|T_{2}|T_{3},\ T_{i}\in \{0,1\}^{8}}$
 Шаг 3. ${\displaystyle {\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{1}{\begin{pmatrix}T_{0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix}},\ {\mbox{where}}\ y=y_{0}|y_{1}|y_{2}|y_{3},\ y_{i}\in \{0,1\}^{8}}$

В CLEFIA используется два разных типа S-блоков, размером по 8 бит каждый. Они сгенерированы так, чтобы минимализировать занимаемую ими площадь при аппаратной реализации. Первый (${\displaystyle S_{0}}$) состоит из 4-битных случайных S-блоков. Во втором (${\displaystyle S_{1}}$) используется обратная функции над полем ${\displaystyle GF(2^{8})}$. В таблицах ниже представлены выходные значения в шестнадцатеричной системе счисления для S-блоков. Старшие 4-бита для 8-битного ввода S-блока обозначают строку, а младшие 4-бита обозначают столбец. Например, если введено значение ${\displaystyle 0x32}$, то блок ${\displaystyle S_{0}}$ выводит ${\displaystyle 0x2e}$[3].

${\displaystyle S_{0}}$ создан с помощью применения четырёх 4-битных S-блоков ${\displaystyle SS_{0},SS_{1},SS_{2},SS_{3}}$ следующим образом:

${\displaystyle S_{0}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8)}\end{cases}}}$

Алгоритм получения выходных данных при использования блока ${\displaystyle S_{0}}$
 Шаг 1. ${\displaystyle t_{0}=SS_{0}(x_{0}),\ t1=SS_{1}(x_{1}),\ {\mbox{where }}x=x_{0}|x_{1},\ x_{i}\in \{0,1\}^{4}}$
 Шаг 2. ${\displaystyle u_{0}=t_{0}\oplus 0x2\times t_{1},\ u_{1}=0x2\times t_{0}\oplus t_{1}}$
 Шаг 3. ${\displaystyle y_{0}=SS_{2}(u_{0}),\ y_{1}=SS_{3}(u_{1}),\ {\mbox{where }}y=y_{0}|y_{1},\ y_{i}\in \{0,1\}^{4}}$

Умножение в ${\displaystyle 0x2\times t_{i}}$ выполняется в ${\displaystyle GF(2^{4})}$ над многочленами, которое определяется неприводимым полиномом ${\displaystyle z^{4}+z+1}$. В таблице можно найти соответствующий полученный S-box ${\displaystyle S_{0}}$.

Таблица ${\displaystyle S_{0}}$ .0 .1 .2 .3 .4 .5 .6 .7 .8 .9 .a .b .c .d .e .f 0. 57 49 d1 c6 2f 33 74 fb 95 6d 82 ea 0e b0 a8 1c 1. 28 d0 4b 92 5c ee 85 b1 c4 0a 76 3d 63 f9 17 af 2. bf a1 19 65 f7 7a 32 20 06 ce e4 83 9d 5b 4c d8 3. 42 5d 2e e8 d4 9b 0f 13 3c 89 67 c0 71 aa b6 f5 4. a4 be fd 8c 12 00 97 da 78 e1 cf 6b 39 43 55 26 5. 30 98 cc dd eb 54 b3 8f 4e 16 fa 22 a5 77 09 61 6. d6 2a 53 37 45 c1 6c ae ef 70 08 99 8b 1d f2 b4 7. e9 c7 9f 4a 31 25 fe 7c d3 a2 bd 56 14 88 60 0b 8. cd e2 34 50 9e dc 11 05 2b b7 a9 48 ff 66 8a 73 9. 03 75 86 f1 6a a7 40 c2 b9 2c db 1f 58 94 3e ed a. fc 1b a0 04 b8 8d e6 59 62 93 35 7e ca 21 df 47 b. 15 f3 ba 7f a6 69 c8 4d 87 3b 9c 01 e0 de 24 52 c. 7b 0c 68 1e 80 b2 5a e7 ad d5 23 f4 46 3f 91 c9 d. 6e 84 72 bb 0d 18 d9 96 f0 5f 41 ac 27 c5 e3 3a e. 81 6f 07 a3 79 f6 2d 38 1a 44 5e b5 d2 ec cb 90 f. 9a 36 e5 29 c3 4f ab 64 51 f8 10 d7 bc 02 7d 8e

Таблица ${\displaystyle SS_{i}(0\leq i<4)}$ ${\displaystyle x}$ 0 1 2 3 4 5 6 7 8 9 a b c d e f ${\displaystyle SS_{0}(x)}$ e 6 c a 8 7 2 f b 1 4 0 5 9 d 3 ${\displaystyle SS_{1}(x)}$ 6 4 0 d 2 b a 3 9 c e f 8 7 5 1 ${\displaystyle SS_{2}(x)}$ b 8 5 e a 6 4 c f 7 2 3 1 0 d 9 ${\displaystyle SS_{3}(x)}$ a 2 6 d 3 4 5 e 0 7 8 9 b f c 1

Блок ${\displaystyle S_{1}}$ определяется как:

${\displaystyle S_{1}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8)}\end{cases}}}$

${\displaystyle y={\begin{cases}g(f(x)^{-1}),&{\mbox{if}}\quad f(x)\neq 0\\g(0),&{\mbox{if}}\quad f(x)=0\end{cases}}}$

При этом обратная функция находится в поле ${\displaystyle GF(2^{8})}$, которое задано неприводимым полиномом ${\displaystyle z^{8}+z^{4}+z^{3}+z^{2}+1}$. ${\displaystyle f(\cdot ){\mbox{ и }}g(\cdot )}$ — аффинные преобразования над ${\displaystyle GF(2)}$, определённые следующим образом:

${\displaystyle f:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8)}\end{cases}}}$ ${\displaystyle {\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\\y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&1&1&0&0&0\\0&1&0&1&0&0&0&1\\0&0&0&0&0&0&0&1\\0&0&0&0&0&1&1&0\\0&1&1&0&0&1&0&1\\0&1&0&1&1&1&0&0\\0&1&1&0&0&0&0&0\\1&0&0&0&0&0&0&1\end{pmatrix}}{\begin{pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end{pmatrix}}+{\begin{pmatrix}0\\0\\0\\1\\1\\1\\1\\0\end{pmatrix}}}$

${\displaystyle g:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8)}\end{cases}}}$ ${\displaystyle {\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\\y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&0&1&0&1&0\\0&1&0&0&0&0&0&1\\0&1&0&1&1&0&0&0\\0&0&1&0&0&0&0&0\\0&0&1&1&0&0&0&0\\0&0&0&0&0&0&1&0\\1&0&0&1&0&0&0&0\\0&1&0&0&0&1&0&0\end{pmatrix}}{\begin{pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end{pmatrix}}+{\begin{pmatrix}0\\1\\1\\0\\1\\0\\0\\1\end{pmatrix}}}$

Здесь используется, что ${\displaystyle x=x_{0}|x_{1}|x_{2}|x_{3}|x_{4}|x_{5}|x_{6}|x_{7}}$ и ${\displaystyle y=y_{0}|y_{1}|y_{2}|y_{3}|y_{4}|y_{5}|y_{6}|y_{7},\ x_{i},\ y_{i}\in \{0,1\}}$. Таким образом получается блок ${\displaystyle S_{1}}$.

Таблица ${\displaystyle S_{1}}$

	.0	.1	.2	.3	.4	.5	.6	.7	.8	.9	.a	.b	.c	.d	.e	.f
0.	6c	da	c3	e9	4e	9d	0a	3d	b8	36	b4	38	13	34	0c	d9
1.	bf	74	94	8f	b7	9c	e5	dc	9e	07	49	4f	98	2c	b0	93
2.	12	eb	cd	b3	92	e7	41	60	e3	21	27	3b	e6	19	d2	0e
3.	91	11	c7	3f	2a	8e	a1	bc	2b	c8	c5	0f	5b	f3	87	8b
4.	fb	f5	de	20	c6	a7	84	ce	d8	65	51	c9	a4	ef	43	53
5.	25	5d	9b	31	e8	3e	0d	d7	80	ff	69	8a	ba	0b	73	5c
6.	6e	54	15	62	f6	35	30	52	a3	16	d3	28	32	fa	aa	5e
7.	cf	ea	ed	78	33	58	09	7b	63	c0	c1	46	1e	df	a9	99
8.	55	04	c4	86	39	77	82	ec	40	18	90	97	59	dd	83	1f
9.	9a	37	06	24	64	7c	a5	56	48	08	85	d0	61	26	ca	6f
a.	7e	6a	b6	71	a0	70	05	d1	45	8c	23	1c	f0	ee	89	ad
b.	7a	4b	c2	2f	db	5a	4d	76	67	17	2d	f4	cb	b1	4a	a8
c.	b5	22	47	3a	d5	10	4c	72	cc	00	f9	e0	fd	e2	fe	ae
d.	f8	5f	ab	f1	1b	42	81	d6	be	44	29	a6	57	b9	af	f2
e.	d4	75	66	bb	68	9f	50	02	01	3c	7f	8d	1a	88	bd	ac
f.	f7	e4	79	96	a2	fc	6d	b2	6b	03	e1	2e	7d	14	95	1d

Матрицы распространения заданы следующим образом:

Умножения матрицы и векторов выполняются в поле ${\displaystyle GF(2^{8})}$, определённое неприводимым полиномом ${\displaystyle z^{8}+z^{4}+z^{3}+z^{2}+1}$.

Таким образом, на основе обобщённой сети Фейстеля (4 входа для блока данных; 2r входа для раундовых ключей; 4 выхода для шифротекста):

${\displaystyle GFN_{4,r}:{\begin{cases}\{\{0,1\}^{32}\}^{2r}\times \{\{0,1\}^{32}\}^{2r}\rightarrow \{\{0,1\}^{32}\}^{4}\\(RK_{0(32)},...,RK_{2r-1(32)},X_{0(32)},X_{1(32)},X_{2(32)},X_{3(32)})\rightarrow (Y_{0(32)},Y_{1(32)},Y_{2(32)},Y_{3(32)})\end{cases}}}$

Алгоритм шифрования и расшифрования данных:

Шифрование (${\displaystyle GFN_{4,r}}$)
 Шаг 1. ${\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3}}$
 Шаг 2. ${\displaystyle {\mbox{for }}i=0{\mbox{ to }}r-1{\mbox{ do:}}}$
   Шаг 2.1. ${\displaystyle T_{1}=T_{1}\oplus F_{0}(RK_{2i},T_{0}),}$
   Шаг 2.2. ${\displaystyle T_{3}=T_{3}\oplus F_{1}(RK_{2i+1},T_{2}),}$
 Шаг 3. ${\displaystyle Y_{0}=T_{3},\ Y_{1}=T_{0},\ Y_{2}=T_{1},\ Y_{3}=T_{2}}$

Расшифрование (${\displaystyle GFN_{4,r}^{-1}}$)
 Шаг 1. ${\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3}}$
 Шаг 2. ${\displaystyle {\mbox{for }}i=0{\mbox{ to }}r-1{\mbox{ do:}}}$
   Шаг 2.1. ${\displaystyle T_{1}=T_{1}\oplus F_{0}(RK_{2(r-i)-2},T_{0}),}$
   Шаг 2.2. ${\displaystyle T_{3}=T_{3}\oplus F_{1}(RK_{2(r-i)-1},T_{2}),}$
 Шаг 3. ${\displaystyle Y_{0}=T_{1},\ Y_{1}=T_{2},\ Y_{2}=T_{3},\ Y_{3}=T_{0}}$

Число раундов ${\displaystyle r}$ составляет 18, 22 и 26 для 128-битных, 192-битных и 256-битных ключей соответственно. Общее количество ${\displaystyle RK_{i}}$ зависит от длины ключа, поэтому часть обработки данных требует 36, 44 и 52 раундовых ключей для 128-битных, 192-битных и 256-битных ключей соответственно.

Результат от ${\displaystyle GFN_{4,r}}$ также подвергается ключевому забеливанию.

Рисунок 4. Схема шифрования данных

В часть обработки данных CLEFIA, состоящую из ${\displaystyle ENC_{r}}$ для шифрования и ${\displaystyle DEC_{r}}$ для расшифрования, входят процедуры исключающее «или» между текстом и отбеливающими ключами в начале и в конце алгоритма.

Таким образом, пусть ${\displaystyle P,C\in \{0,1\}^{128}}$ — открытый текст и зашифрованный текст, и пусть ${\displaystyle P_{i},C_{i}\in \{0,1\}^{32}\ (0\leq i<4)}$ — части открытого текста и зашифрованного текста, где ${\displaystyle P=P_{0}|P_{1}|P_{2}|P_{3}}$ и ${\displaystyle C=C_{0}|C_{1}|C_{2}|C_{3}}$, и пусть ${\displaystyle WK_{0},WK_{1},WK_{2},WK_{3}\in \{0,1\}^{32}}$ — отбеливающие ключи, а ${\displaystyle RK_{i}\in \{0,1\}^{32}\ (0\leq i<2r)}$ — раундовые ключи, предоставляемые частью обработки ключа. Тогда алгоритм шифрования с использованием ключевого забеливания:

Функция шифрования ${\displaystyle ENC_{r}}$
 Шаг 1. ${\displaystyle T_{0}=P_{0},\ T_{1}=P_{1}\oplus WK_{0},\ T_{2}=P_{2},\ T_{3}=P_{3}\oplus WK_{1}}$
 Шаг 2. ${\displaystyle T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}(RK_{0},...,RK_{2r-1},T_{0},T_{1},T_{2},T_{3})}$
 Шаг 3. ${\displaystyle C_{0}=T_{0},\ C_{1}=T_{1}\oplus WK_{2},\ C_{2}=T_{2},\ C_{3}=T_{3}\oplus WK_{3}}$

Функция расшифрования ${\displaystyle DEC_{r}}$
 Шаг 1. ${\displaystyle T_{0}=C_{0},\ T_{1}=C_{1}\oplus WK_{2},\ T_{2}=C_{2},\ T_{3}=C_{3}\oplus WK_{3}}$
 Шаг 2. ${\displaystyle T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}^{-1}(RK_{0},...,RK_{2r-1},T_{0},T_{1},T_{2},T_{3})}$
 Шаг 3. ${\displaystyle P_{0}=T_{0},\ P_{1}=T_{1}\oplus WK_{0},\ P_{2}=T_{2},\ P_{3}=T_{3}\oplus WK_{1}}$

Данный алгоритм использует функцию перестановки бит DoubleSwap (обозначение: ${\displaystyle \Sigma }$):

${\displaystyle \Sigma$ :{\begin{cases}\{0,1\}^{128}\rightarrow \{0,1\}^{128}\\X_{(128)}\rightarrow Y_{(128)}\end{cases}}}
  

${\displaystyle Y=\Sigma (X)=X[7-63]|X[121-127]|X[0-6]|X[64-120]}$

Причём ${\displaystyle X[a-b]}$ обозначает битовую строку, вырезанную с ${\displaystyle a}$-го бита по ${\displaystyle b}$-й бит из ${\displaystyle X}$.

Схема ${\displaystyle GFN_{d,r}}$ требует на вход раундовые ключи в количестве ${\displaystyle r\cdot {\frac {d}{2}}=2r}$ (если ${\displaystyle d=4}$), и, когда эта схема применяется в части обработки ключа, шифр CLEFIA применяет заранее сгенерированные константы как раундовые ключи. Также дополнительные константы необходимы при втором этапе, при генерации ${\displaystyle WK_{i}}$ и ${\displaystyle RK_{j}}$, и их количество равно ${\displaystyle r\cdot {\frac {d}{2}}}$ (но в данном случае константы ${\displaystyle d}$ и ${\displaystyle r}$ из части обработки данных).

Эти 32-х битные константы обозначаются как ${\displaystyle CON_{i}^{(k)}}$, где ${\displaystyle i}$ — номер константы, ${\displaystyle k}$ — используемое количество бит для ключа(может быть 128, 196, 256). Тогда количество констант будет 60, 84, 92 для 128, 192, 256 битовых ключей соответственно.

Пусть ${\displaystyle P_{(16)}=0xb7e1(=(e-2)\cdot 2^{16})}$ и ${\displaystyle Q_{(16)}=0x243f(=(\pi -3)\cdot 2^{16})}$. Тогда алгоритм для генерации (в таблице количество итераций ${\displaystyle l^{(k)}}$ и начальные значения ${\displaystyle IV^{(k)}}$):

Шаг 1. ${\displaystyle T_{0}=IV^{(k)}}$
Шаг 2. ${\displaystyle {\mbox{for }}i=0{\mbox{ to }}l^{(k)}-1{\mbox{ do:}}}$
  Шаг 2.1. ${\displaystyle CON_{2i}^{(k)}=(T_{i}\oplus P_{(16)})|({\overline {T_{i}}}\lll 1)}$
  Шаг 2.2. ${\displaystyle CON_{2i+1}^{(k)}=({\overline {T_{i}}}\oplus Q_{(16)})|(T_{i}\lll 8)}$
  Шаг 2.3. ${\displaystyle T_{i+1}=T_{i}\times 0x0002^{-1}}$

Где ${\displaystyle {\overline {a}}}$ — логическое отрицание, ${\displaystyle a\lll b}$ — циклический левый сдвиг на ${\displaystyle b}$-бит; а умножение происходит в поле ${\displaystyle GF(2^{16})}$ и определённо неприводимым многочленом ${\displaystyle z^{16}+z^{15}+z^{13}+z^{11}+z^{5}+z^{4}+1(=0x1a831)}$.

128-разрядный промежуточный ключ ${\displaystyle L}$ генерируется путём применения ${\displaystyle GFN_{4,12}}$, который принимает на вход двадцать четыре 32-разрядные константы ${\displaystyle CON_{i}^{(128)}(0\leq i<24)}$ в качестве раундовых ключей и ${\displaystyle K=K_{0}|K_{1}|K_{2}|K_{3}}$ в качестве данных для шифрования. Затем ${\displaystyle K}$ и ${\displaystyle L}$ используются для генерации ${\displaystyle WK_{i}(0\leq i<4)}$ и ${\displaystyle RK_{j}(0\leq j<36)}$ в следующих шагах:

Генерация ${\displaystyle L}$ из ${\displaystyle K}$:
 Шаг 1. ${\displaystyle L=GFN_{4,12}(CON_{0}^{(128)},...,CON_{23}^{(128)},K_{0},K_{1},K_{2},K_{3})}$

Генерация ${\displaystyle WK_{i}}$ из ${\displaystyle K}$:
 Шаг 2. ${\displaystyle WK_{0}|WK_{1}|WK_{2}|WK_{3}\leftarrow K}$

Генерация ${\displaystyle RK_{j}}$ из ${\displaystyle K}$ и ${\displaystyle L}$:
 Шаг 3. ${\displaystyle {\mbox{for }}i=0{\mbox{ to }}8{\mbox{ do:}}}$
   Шаг 3.1. ${\displaystyle T=L\oplus (CON_{24+4i}^{(128)}|CON_{24+4i+1}^{(128)}|CON_{24+4i+2}^{(128)}|CON_{24+4i+3}^{(128)})}$
   Шаг 3.2. ${\displaystyle L=\Sigma (L)}$
   Шаг 3.3. ${\displaystyle {\mbox{if }}\ i\ {\mbox{mod}}\ 2==1:\ T=T\oplus K}$
   Шаг 3.4. ${\displaystyle RK_{4i}|RK_{4i+1}|RK_{4i+2}|RK_{4i+3}\leftarrow T}$

Схема 1. Сравнение обобщённой структуры Фейстеля второго типа и обычной структуры Фейстеля

CLEFIA использует обобщённую структуру Фейстеля с 4 ветвями, которая рассматривается как расширение традиционной структуры Фейстеля с 2 ветвями. Существует много типов обобщённых структур Фейстеля. В алгоритме CLEFIA используется второй тип этой структуры (схема 1)[5]. Структура второго типа имеет две F-функции в одном раунде для четырёх линий данных.

Структура типа 2 имеет следующие особенности:

• ${\displaystyle F}$-функции меньше, чем у традиционной структуры Фейстеля;
• множественные ${\displaystyle F}$-функции могут обрабатываться одновременно;
• как правило, требует больше раундов, чем традиционная структура Фейстеля.

Первая особенность является большим преимуществом для программных и аппаратных реализаций; а вторая особенность подходит для эффективной реализации, особенно в аппаратном обеспечение. Но при этом, заметно увеличивается количество раундов из-за третьей особенности. Однако преимущества структуры второго типа превосходят недостатки для данной конструкции блочного шифр, так как используется новая методика программирования, использующая DSM и два типа S-боксов, что позволяет эффективно сократить количество раундов.

Схема 2. Применение DSM в обобщённой структуре Фейстеля

CLEFIA использует две разные матрицы распространения для повышения устойчивости к дифференциальным атакам и линейным атакам с использованием механизма DSM (схема 2). Эта методика проектирования была первоначально разработана для традиционных сетей Фейстеля[3]. Эта техника была перенесена на ${\displaystyle GFN_{d,r}}$, что является одним из уникальных свойств этого шифра. Также, благодаря DSM можно увеличить гарантированное количество активных S-блоков при том же количество раундов.

Следующая таблица показывает гарантированное количество активных S-блоков в шифре CLEFIA. Данные получены при помощи компьютерного моделирования с использованием алгоритма поиска исчерпывающего типа[3]. Столбцы «D» и «L» в таблице показывают гарантированное количество активных S-блоков при дифференциальном и линейном криптоанализе соответственно. Из этой таблицы можно видеть, что влияние DSM проявляется уже при ${\displaystyle r\geq 3}$, и гарантированное количество S-боксов увеличиваются примерно на 20 % — 40 %, в отличие от структуры без DSM. Следовательно, количество раундов может быть уменьшено, что означает, что производительность улучшается.

В таблице красным выделена строка, указывающая на минимальное требуемое количество раундов, чтобы шифр был устойчив к криптоанализу методом полного перебора(см. также). Синим цветом выделены строки, количество раундов которых используется в алгоритме CLEFIA с 128/192/256-битовыми ключами соответственно.

CLEFIA использует два разных типа 8-битных S-блоков: один основан на четырёх 4-битных случайных S-блоках; а другой основан на обратной функции в ${\displaystyle GF(2^{8})}$, которая имеет максимально возможную трудоёмкость атаки для дифференциального криптоанализа ${\displaystyle DP_{max}}$ и линейного криптоанализа ${\displaystyle LP_{max}}$. Оба S-блока выбраны для эффективной реализации, особенно в аппаратном обеспечении.

Для параметров безопасности ${\displaystyle DP_{max}}$ ${\displaystyle S_{0}}$ составляет ${\displaystyle 2^{-4.67}}$, а его ${\displaystyle LP_{max}}$ составляет ${\displaystyle 2^{-4.38}}$. Для ${\displaystyle S_{1}}$ ${\displaystyle DP_{max}}$ и ${\displaystyle LP_{max}}$ оба равны ${\displaystyle 2^{-6.00}}$[6].

По таблице количества активных S боксов с DSM(в пункте Использование Diffusion Switching Mechanism) минимальное число раундов равно 12. Таким образом, используя 28 активных S-блоков для 12-раундового CLEFIA и ${\displaystyle DP_{max}^{S_{0}}=2^{-4.67}}$(см. также), определяем, что вероятность характеристики ${\displaystyle DCP_{max}^{12r}\leq 2^{28\cdot (-4.67)}=2^{-130.76}}$. Это означает, что трудоёмкость атаки выше ${\displaystyle 2^{128}}$ и для атакующего нет полезной дифференциальной характеристики в 12 раундов. Кроме того, поскольку ${\displaystyle S_{1}}$ имеет более низкий ${\displaystyle DP_{max}}$, ожидается, что фактическая верхняя граница ${\displaystyle DCP}$ будет ниже, чем приведённая выше оценка[3]. В результате мы считаем, что полный цикл CLEFIA защищён от дифференциального криптоанализа (в CLEFIA используется 18 раундов).

Для оценки сложности линейного криптоанализа применяется подход на основе подсчёта активных S-блоков при заданном количестве раундов. Поскольку ${\displaystyle LP_{max}^{S_{0}}=2^{-4.38}}$, используя 30 активных S-блоков для 12-раундового CLEFIA, ${\displaystyle LCP_{max}^{12r}\leq 2^{30\cdot (-4.38)}=2^{-131.40}}$. Это даёт вывод, что злоумышленнику трудно найти достаточное количество пар текст-шифротекст, которые можно использовать для успешной атаки на CLEFIA. В результате полнофункциональный CLEFIA достаточно защищён от линейного криптоанализа[6].

Считается, что невозможная дифференциальная атака является одной из самых мощных атак против CLEFIA. Найдены следующие два невозможных дифференциальных пути[7]:

${\displaystyle (0,\alpha ,0,0){\overset {9r}{\nrightarrow }}(0,\alpha ,0,0)\ {\mbox{и}}\ (0,0,0,\alpha ){\overset {9r}{\nrightarrow }}(0,0,0,\alpha )\quad p=1}$

где ${\displaystyle \alpha \in \{0,1\}^{32}}$ — любая ненулевая величина. Таким образом, используя описанный выше отличительный признак, можно смоделировать атаку (для каждой длины ключа), которая будет восстанавливать текущий ключ. В следующей таблице приведены данные о сложностях, необходимых для невозможных дифференциальных атак. Согласно этой таблице ожидается, что у CLEFIA с полным циклом есть достаточный запас безопасности против этой атаки.

Трудоёмкость невозможного дифференциального криптоанализа

Количество раундов	Длина ключа	Ключевое забеливание	Количество открытых текстов	Временная сложность
10	128,192,256	+	${\displaystyle 2^{101.7}}$	${\displaystyle 2^{102}}$
11	192,256	+	${\displaystyle 2^{103.5}}$	${\displaystyle 2^{188}}$
12	256	-	${\displaystyle 2^{103.8}}$	${\displaystyle 2^{252}}$