Статистические методы и средства оценки защищённости информации при использовании итеративных блочных шифров тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат физико-математических наук Пестунов, Андрей Игоревич

Введение

Актуальность темы. Развитие информационных технологий привело к появлению новых угроз нарушения информационной безопасности, поэтому разработка и совершенствование методов защиты информации в процессе её хранения и передачи является актуальной научно-технической проблемой. Итеративные блочные шифры — это один из методов, часто используемых в системах обеспечения информационной безопасности для защиты конфиденциальности данных, а также для построения хеш-функций и кодов аутентичности сообщений, защищающих информацию от подделок и модификаций.

Важным этапом создания новых и совершенствования существующих итеративных блочных шифров является оценка обеспечиваемой ими защищённости информации. Модели, в рамках которых такую оценку можно получить аналитически, применимы далеко не всегда, поэтому для комплексной оценки защищённости информации производится разработка и моделирование атак, направленных на вычисление секретного ключа или ключей раундов шифра. Научный интерес представляют атаки, оказывающиеся эффективнее существующих хотя бы по одному из общепринятых показателей.

Распространённым статистическим методом оценки защищённости информации, обеспечиваемой блочными шифрами является разностный метод. Несмотря на большое число работ, посвящённых ему, к настоящему моменту не выработана описывающая его строгая терминология, и не формализованы связи между его основными понятиями. Открытой является и задача исследования того, как изменяется разность двух блоков после операций, используемых в раундовых функциях шифров.

С увеличением числа раундов — простых преобразований, итерация которых образует блочный шифр, — повышается степень защищённости, обеспечиваемая шифром, но вместе с тем снижается производительность реализующих его программно-аппаратных средств. Определение оптимального числа

раундов является ключевой проблемой, связанной с блочными шифрами.

Итеративные блочные шифры используются для генерации псевдослучайных чисел, широко применяющихся в системах защиты информации. Отсюда вытекает проблема нахождения баланса не только между производительностью и уровнем защищённости, но и между производительностью и качеством генерируемых чисел. Шифры, обладающие неудовлетворительными статистическими свойствами, не могут обеспечить высокий уровень информационной безопасности.

Таким образом, теоретическое обоснование и применение статистических методов анализа блочных шифров, а также разработка и исследование эффективности статистических тестов имеет важное значение для оценки защищённости информации, обеспечиваемой итеративными блочными шифрами. Несмотря на существующие российские и зарубежные стандарты на шифры, актуальность создания новых и совершенствования существующих блочных шифров по-прежнему высока. Это приводит к тому, что в последние годы активно проводятся международные проекты, направленные на их комплексный анализ и стандартизацию (АЕБ, КЕЗБШ, СЮТТЯЕС).

Целью работы является разработка, теоретическое и экспериментальной обоснование и исследование эффективности статистических методов и средств оценки защищённости информации при использовании итеративных блочных шифров.

Для достижения этой цели были поставлены следующие задачи.

• Оценка защищённости информации, обеспечиваемой итеративными блочными шифрами, методом разностного анализа.

• Теоретическое обоснование метода разностного анализа и разработка его строгой единообразной терминологии.

• Теоретическое и экспериментальное исследование эффективности статистических тестов и критериев.

• Оценка защищённости информации итеративными блочными шифрами при помощи статистических тестов и критериев; нахождение зависимости статистических свойств блочных шифров от числа раундов в них.

Объектом исследований являются статистические модели и методы оценки защищённости информации итеративными блочными шифрами; статистические тесты и критерии.

Предметом исследований являются статистические свойства итеративных блочных шифров; вероятность успеха и сложность атак на итеративные блочные шифры; ошибки первого и второго рода статистических тестов и критериев; разностные вероятностные характеристики и дифференциалы блочных шифров.

Методы исследований. Аппарат математического анализа, теории вероятностей и математической статистики; методы статистического моделирования и регрессионного анализа; технологии программирования на языках С, С++ и Java.

Научная новизна

1. Получены результаты, представляющие собой вклад в развитие теории разностного метода анализа итеративных блочных шифров.

(а) Предложен набор определений, позволивший формализовать связи и соотношения между основными понятиями этого метода.

(б) Теоретически определена зависимость между вероятностью сохранения разности двух величин после арифметических операций, используемых в блочных шифрах, от веса Хэмминга этой разности.

2. Методом разностного анализа проведена оценка защищённости информации кандидатами конкурса AES шифрами MARS и CAST-256.

(а) Предложены разностные характеристики этих шифров и получены оценки их вероятностей, на основании чего разработаны атаки на

данные шифры, являющиеся эффективнее существующих.

(б) Получены оценки сложности разностной атаки в общем случае при различных параметрах итеративных блочных шифров.

3. Теоретически и экспериментально обоснована эффективность статистического теста "стопка книг".

(а) Теоретически доказано, что для одного класса альтернативных гипотез тест "стопка книг" позволяет достичь заданных значений ошибок первого и второго рода при размере выборки О (у/Б), где 5 — размер алфавита, которому принадлежат элементы выборки.

(б) Экспериментально показано, что для класса линейных конгруэнтных генераторов "стопка книг" эффективнее спектрального теста.

4. Проведено статистическое исследование защищённости информации итеративными блочными шифрами, заявленными на конкурс АЕБ.

(а) Определены зависимости от числа раундов длин последовательностей псевдослучайных чисел, генерируемых рассматриваемыми шифрами, при которых тест "стопка книг" отличает их от равномерно распределённых случайных чисел.

(б) Найдено число раундов, при котором псевдослучайные числа, генерируемых рассматриваемыми шифрами, не отличаются от равномерно распредёленных случайных чисел.

Достоверность результатов обеспечена корректностью постановок задач, экспериментальной проверкой теоретических результатов, сравнением полученных экспериментальных данных с эталонными.

Положения, выносимые на защиту.

1. Набор определений, образующих строгую единообразную терминологию разностного метода, согласованную с существующими понятиями.

2. Теоретически обоснованная зависимость вероятности сохранения разности двух величин после арифметических операций, используемых в блочных шифрах, от веса Хэмминга этой разности.

3. Разностные характеристики шифров MARS и CAST-256; атаки на эти шифры, основанные на предложенных характеристиках; оценки сложности разностной атаки в зависимости от параметров блочных шифров.

4. Теоретическое и экспериментальное обоснование эффективности статистического теста "стопка книг".

5. Зависимости от числа раундов длин псевдослучайных последовательностей, генерируемых шифрами-кандидатами AES, когда тест "стопка книг" отличает их от равномерно распределённых случайных чисел. Минимальное число раундов, при котором эти последовательности обладают удовлетворительными статистическими свойствами.

Практическая ценность. Разработан программный комплекс для статистического оценивания защищённости информации при использовании итеративных блочных шифров "СКАБШ-2012". Найдены зависимости статистических свойств блочных шифров от числа раундов, что может служить рекомендацией к применению шифров для генерации псевдослучайных чисел.

Основные результаты работы использовались при выполнении базовых проектов МВТ СО РАН по приоритетным направлениям фундаментальных исследований РАН гос. регистрации 01.2007.07871 и 01.2010.61308) и внедрены в учебный процесс НГУЭУ при подготовке студентов по специальности "Организация и технология защиты информации" и направлению "Информационная безопасность".

Исследования по теме диссертации поддержаны грантом Лаврен-тьевского конкурса молодежных проектов СО РАН (2010-2011 гг.), грантом № 11-07-09299 Российского фонда фундаментальных исследований "Мобильность молодых ученых" (2011 г.), грантом Фонда содействия отечественной

науке в номинации "Лучшие аспиранты РАН" (2006-2007 гг.), стипендией администрации Новосибирской области в сфере научной деятельности (2006 г.) и частично грантами Ж№ НШ-931.2008.9 и НШ-6068.2010.9 Президентской программы "Ведущие научные школы РФ" (рук. академик Ю.И. Шокин).

Апробация работы. Результаты диссертации докладывались на следующих конференциях и семинарах: VII Intern. Conf. on Intelligent Information Hiding and Multimedia Signal Processing, Dalian, China, 2011; XII Всеросс. научно-практ. конф. "Проблемы информационной безопасности государства, общества и личности", Томск- Барнаул-Белокуриха, 2010; IX Сибирская науч. школа-семинар с междунар. участием "Компьютерная безопасность и криптография" (Sibecrypt-IX), Тюмень, 2010; IEEE Region 8 Intern. Conf. on Computational Technologies in Electrical and Electronic Engineering (Sibircon-2008), Novosibirsk, 2008; Российско-Казахстанское совещание рабочей группы, Новосибирск, 2007; XI Intern. Symp. on Problems of Redundancy in Information and Control Systems, Saint Petersburg, 2007; Междунар. конф. "Вычислительные и информационные технологии в науке, технике и образовании", Павлодар, 2006; VII Всеросс. конф. молодых ученых по матем. моделированию и информационным технологиям, Красноярск, 2006 Междунар. школа-конф. по приоритет, направл. развития науки и техники с участием молодых ученых, аспирантов и студентов, Москва, 2006; конф. "Информационная безопасность" в рамках науч. сессии НГУЭУ в 2010-2013 гг.; семинары ИВТ СО РАН: "Информационные технологии" (рук.: академик Ю.И. Шокин, чл.-корр. А.М. Федотов, д.ф.-м.н. С.К. Голушко), "Информационно-вычислительные технологии" (рук.: академик Ю.И. Шокин, д.ф.-м.н. В.М. Ковеня), "Информационно-вычислительные технологии в задачах поддержки принятия решений" (рук.: академик Ю.И. Шокин, д.ф.-м.н. Л.Б. Чубаров, д.ф.-м.н. М.П. Федорук); семинар каф. защиты информации и криптографии ТГУ (рук. д.т.н. Г.П. Агибалов), семинар "Криптография и криптоанализ" (рук. к.ф.-м.н. H.H. Токарева, ИМ СО РАН).

Публикации. По теме диссертации опубликовано 14 работ, в том числе 7 статей в журналах, рекомендованных ВАК, 4 работы в трудах международных конференций и 3 работы в тезисах конференций.

Личный вклад автора. Все результаты, выносимые на защиту, получены автором лично. В совместной работе [31] автор программно реализовал тест "стопка книг" и провел эксперименты по предложенной соавтором схеме.

Структура и объём работы. Диссертация включает введение, три главы, заключение и список литературы из 156 наименований. Основной текст работы, содержащий 32 таблицы и 13 рисунков, изложен на 124 страницах. Общий объём диссертации составляет 161 страницы.

Благодарность. Автор выражает глубокую благодарность директору Института вычислительных технологий СО РАН академику Ю.И. Шокину за постоянное внимание к работе и поддержку. Автор особенно благодарен д.т.н. Г.П. Агибалову, заведующему кафедрой защиты информации и криптографии ТГУ, за большую помощь в организации экспертизы диссертации и на этапе её подготовки к защите.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обоснована актуальность выбранной темы, определены цель и задачи исследования, раскрыта научная новизна работы и практическая значимость полученных результатов. Сформулированы положения, выносимые на защиту, и кратко изложено содержание диссертации.

В главе 1 представлен аналитический обзор по теме исследований, произведена постановка задач диссертации, обоснована их актуальность.

Глава 2 посвящена оценке защищённости информации блочными шифрами с использованием разностного метода и его теоретическому обоснованию. Предложен набор определений, позволивший формализовать связи между основными понятиями разностного метода. Теоретически определена зависимость между вероятностью сохранения разности двух величин после ариф-

метических операций от веса Хэмминга этой разности.

Теоретически обоснована зависимость между вероятностью сохранения разности через сложение и умножение по модулю 2S и весом Хэмминга этой разности. Полученные результаты использованы для построения разностных характеристик шифров MARS и CAST-256, на основе которых разработаны атаки на данные шифры, являющиеся эффективнее существующих.

В главе 3 теоретически и экспериментально обоснована эффективность статистического теста "стопка книг". Теоретически доказано, что для одного класса альтернативных гипотез заданные значения ошибок первого и второго рода достигаются при размере выборки равном 0{^/~S), где S — это длина алфавита, которому принадлежат элементы выборки. В то же время критерий хи-квадрат требует выборки размера 0(5). Экспериментально показано, что для класса линейных конгруэнтных генераторов тест "стопка книг" эффективнее, чем спектральный тест.

Получены статистические оценки защищённости информации блочными шифрами, заявленными на конкурс AES. Определены зависимости от числа раундов степени защищённости информации блочными шифрами. Определено число раундов, при котором генерируемые шифрами псевдослучайные последовательности имеют удовлетворительные статистические свойства.

В главе 3 также описан программный комплекс, включающий в себя реализацию теста "стопка книг", программу моделирования атак на шифры MARS и CAST-256, программу для тестирования разностных характеристик блочных шифров, программу построения прогноза методом наименьших квадратов.

В заключении сформулированы основные результаты диссертации.

В приложении приведён исходный код программного комплекса.

Заключение

Сформулируем основные результаты диссертации.

1. Разработана система определений, описывающая разностный метод анализа итеративных блочных шифров, с помощью которой формализованы соответствия между основными понятиями этого метода.

2. Теоретически определено влияние (найдена зависимость) веса Хэммин-га разности двух величин на вероятность её сохранения после арифметических операций по модулю 2S.

3. Методом разностного анализа проведена оценка защищённости информации при использовании блочных шифров MARS и CAST-256. Предложены разностные характеристики, позволившие разработать атаки на эти шифры, являющиеся эффективнее существующих.

4. Теоретически и экспериментально обоснована эффективность статистического теста "стопка книг".

5. Статистически исследована защищённость информации, обеспечиваемая итеративными блочными шифрами кандидатами конкурса AES. Определены зависимости их статистических свойств от числа раундов. Для каждого шифра найдено минимальное число раундов, при котором он обладает удовлетворительными статистическими свойствами.

6. Разработан программный комплекс "СКАБШ-2012", предназначенный для статистического оценивания защищённости информации при использовании итеративных блочных шифров.

Литература

Агибалов Г. П. Элементы теории дифференциального криптоанализа итеративных блочных шифров с аддитивным раундовым ключом. — // Прикл. дискр. матем. - 2008. - № 1 (1). - С. 34-42. Алферов А. П. и др. Основы криптографии. — М.: Гелиос АРВ, 2005. — 480 с.

Боровков A.A. Математическая статистика. — М.: Физматлит, 2007. — 704 с.

Боровков A.A. Теория вероятностей. — М.: Наука, 1976. — 352 с. Вентцель Е. С. Теория вероятностей. — М.: Высшая школа, 1998. — 576 с.

Гмурман В. Е. Теория вероятностей и математическая статистичка. — М.: Высшая школа, 1998. — 479 с.

Глухое М. М., Круглое И. А., Пичкур А. Б., Черемушкин А. В. Введение в теоретико-числовые методы криптографии: Учебное пособие. — СПб.: Лань, 2011. - 400 с.

Кендалл М., Стъюарт А. Статистические выводы и связи: Пер. с англ. - М.: Наука, 1973. - 817 с.

Коршунов Д. А., Чернова Н. И. Сборник задач и упражнений по математической статистике. — Новосибирск: Изд-во Института математики, 2004. - 128 с.

Кнут Д. Исскуство программирования. — Т. 2. Полу численные алгоритмы: Пер. с англ. — М.: Изд. дом "Вильяме", 2007. — 832 с. Кнут Д. Исскуство программирования. — Т. 3. Сортировка и поиск: Пер. с англ. — М.: Изд. дом "Вильяме", 2009. — 824 с. Кормен Т. и др. Алгоритмы. Построение и анализ: Пер. с англ. — / Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн. — М.: Изд. дом "Вильяме", 2010. - 1296 с.

[13] Корнюшкин А. H., Пестунов А. И. Информационная система, предназначенная для работы с данными о существующих результатах криптоанализа блочных шифров // Тр. науч. сессии НГУЭУ. — Новосибирск, 2011. - С. 51-57.

[14] Крамер Г. Математические методы статистики: Пер. с англ. — М.: Мир, 1975. - 648 с.

[15] Монарев В. А. Построение новых статистических тестов и их применение в криптографии: Дис. .. .канд. физ.-мат. наук: 05.13.18. — Новосибирск, 2005.

[16] Пестунов А. И. О вероятности протяжки однобитовой разности через сложение и вычитание по модулю // Прикладная дискретная математика. - 2012. - № 4. - С. 53-60.

[17] Пестунов А. И. Дифференциальный криптоанализ блочного шифра CAST-256 // Безопасность информ. технологий. — 2009. — №4. — С. 57-62.

[18] Пестунов А. И. Дифференциальный криптоанализ блочного шифра MARS // Прикл. дискр. матем. - 2009. - № 4 (6). - С. 56-63.

[19] Пестунов А. И. Статистический анализ современных блочных шифров // Вычисл. технологии. - 2007. - Т. 12, № 2. - С. 122-129.

[20] Пестунов А. И. Теоретические исследования статистического теста "Стопка книг" // Вычисл. технологии. - 2006. - Т. 11, № 6. - С. 96-103.

[21] Пестунов А. И. Блочные шифры и их криптоанализ // Вычисл. технологии. — 2007. — Спец. вып. с тр. Росс.-казах. совещ.-2007. — С. 42-49.

[22] Пестунов А. И. Статистический анализ блочного шифра MARS // Тр. Междунар. конф. "Вычисл. и информ. технологии в науке, технике и образовании". - Павлодар, 2006. - Т. 2. - С. 118-123.

[23] Пестунов А. И. Асимптотические свойства статистического теста "Стопка книг" //Тр. Междунар. конф. "Вычисл. и информ. технологии в науке, технике и образовании". — Павлодар, 2006. — Т. 2. — С. 110-117.

[24] Пестунов А. И. Оценки сложности дифференциальной атаки при различных параметрах блочного шифра // Тез. докл. IX Сибир. науч. школы-семинара с междунар. участием "Компьютерная безопасность и криптография" (Sibecrypt-IX). — Тюмень, 2010. — С. 25-27.

[25] Пестунов А. И. Новые статистические атаки на блоковые и потоковые шифры // Тез. докл. Междунар. шк.-конф. по приоритетным направлениям развития науки и техники с участием молодых ученых, аспирантов и студентов. — Москва, 2006. — С. 58-60.

[26] Пестунов А. И. Градиентная статистическая атака на блоковый шифр FEAL // Тез. докл. VII Всеросс. конф. молодых ученых по матем. моделированию и информ. технологиям. — Красноярск, 2006. — С. 91-92.

[27] Пестунов А. И. О вероятности протяжки однобитовой разности через сложение и вычитание по модулю // Прикладная дискретная математика. 2012. №4. С. 53-60.

[28] Пестунов А. И. О влиянии веса Хэмминга разности двух величин на вероятность её сохранения после сложнения и вычитания // Дискретный анализ и исследование операций. 2013. Т. 20, №2. С. 42-49.

[29] Погорелое Б. А,, Черемушкин А. В., Чечета С. И. К вопросу о терминологии, используемой в криптографии // Вестник Томского университета. Приложение. Материалы научных конференций, симпозиумов, школ, проводимых в ТГУ. 2003. №6. С. 53-57.

[30] Погорелое Б. А., Черемушкин А. В., Чечета С. И. Об определении основных криптографических понятий // Доклад на конференции "Математика и безопасность информационных технологий", МаБИТ-03, МГУ, 23-24 октября 2003.

[31] Рябко Б. Я., Пестунов А. И. "Стопка книг" как новый статистический тест для случайных чисел // Пробл. передачи информ. — 2004. — Т. 40, К0- 1. - С. 73-78.

[32] Рябко Б. Я., Монарев В. А. Экспериментальный анализ генераторов

псевдослучайных чисел при помощи нового статистического теста. — ЖВМ и МФ. - 2004. - Т. 44, № 5. - С. 812-816.

[33] Рябко Б. Я., Монарев В. А., Шокин Ю. И. Новый тип атак на блоковые шифры // Пробл. передачи информ. — 2005. — Т. 41, № 4. — С. 181-128.

[34] Рябко Б. Я., Стогниенко B.C., Шокин Ю. И. Адаптивный критерий X2 для различения близких гипотез при большом числе классов и его применение к некоторым задачам криптографии // Пробл. передачи информ. - 2003. - Т. 39, № 2. - С. 53-62.

[35] Рябко Б. Я., Фионов А. Н. Основы современной криптографии и стеганографии. — М.: Горячая линия — Телеком, 2010. — 232 с.

[36 [37

[38

[39

[40

[41

[42

[43

[44

Смарт Н. Криптография: Пер. с англ. — М.: Техносфера, 2006. — 528 с. Словарь криптографических терминов / Под ред. Б. А. Погорелова и В. Н. Сачкова. - М.: МЦНМО, 2006. - 94 с.

Токарева Н. Н. Симметричная криптография. Краткий курс: учебное пособие.. — Новосибирск: НГУ, 2012. — 234 с.

Торстейнсон П. Криптография и безопасность в технологии .NET: Пер. с англ. - М.: БИНОМ, 2007. - 479 с.

Феллер В. Введение в теорию вероятностей и её приложения. В 2-ч томах. Т.1: Пер. с англ.. — М.: Мир, 1984. — 528 с. Фёрстер Э., Рёнц Б. Методы корреляционного и регрессионного анализа: Пер. с нем. — М.: Финансы и статистика, 1983. — 302 с. Фергюсон Н., Шнайер Б. Практическая криптография: Пер. с англ. — М.: Изд. дом "Вильяме", 2005. - 424 с.

Фомичёв В.М. Методы дискретной математики в криптологии. — М.: Диалог-МИФИ, 2010. - 424 с.

Черемушкин А. В. Криптографические протоколы. Основные свойства и уязвимости. — М.: Изд. дом "Академия", 2009. — 272 с. Шеннон К. Работы по теории информации и кибернетике. — М.: Иностранная литература, 1963. — 832 с.

[46] Adams C. The CAST-256 Encryption Algorithm // AES submission. — 1998.

[47] Advanced Encryption Standard (AES) project. — http://csrc.nist.gov/encryption/aes/.

[48] Bahrak B., Aref M. A Novel Impossible Differential Cryptanalysis of AES // Proc. WEWRC-07. - 2007. - P. 152-156.

[49] Bahrak B., Aref M. Impossible Differential Attack on Seven-Round AES-128 // IET Information Security J. - 2008. - Vol. 2, № 2. - P. 28-32.

[50] Biham E. New Types of Cryptanalytic Attacks Using Related Keys // Proc. Eurocrypt-93. — Lect. Notes in Comp. Sci. — 1994. — Vol. 765. — P. 398-409.

[51] Biham E., Biryukov A., Shamir A. Cryptanalysis of Skipjack reduced to 31 rounds using impossible differentials // Proc. Eurocrypt-99. — Lect. Notes in Comp. Sci. - 1999. - Vol. 1592. - P. 12-23.

[52] Biham E., Dunkelman O., Keller N. New Cryptanalytic Results on IDEA // Proc. Asiacrypt-06. - Lect. Notes in Comp. Sci. - 2006. - Vol. 4284. -P. 412-427.

[53] Biham E., Dunkelman O., Keller N. Linear Cryptanalysis of Reduced Round Serpent // Proc. Fast Software Encryption-01. — Lect. Notes in Comp. Sci. - 2001. - Vol. 2355. - P. 16-27.

[54] Biham E., Dunkelman O., Keller N. New Results on Boomerang and Rectangle Attacks // Proc. Fast Software Encryption-02. — Lect. Notes in Comp. Sci. - 2002. - Vol. 2501. - P. 254-266.

[55] Biham E., Dunkelman O., Keller N. Differential-linear Cryptanalysis of Serpent // Proc. Fast Software Encryption-03. — Lect. Notes in Comp. Sci. - 2004. - Vol. 2887. - P. 9-21.

[56] Biham E., Biryukov A., Shamir A. Miss in the Middle Attacks on IDEA and Khufu // Proc. Fast Software Encryption-99. — Lect. Notes in Comp. Sci. - 1999. - Vol. 1636. - P. 124-137.

[57] Biham E., Dunkelman 0., Keller N. The Rectangle Attack — Rectangling the Serpent // Proc. Eurocrypt-01. — Lect. Notes in Comp. Sei. — 2001. — Vol. 2045. - P. 340-357.

[58] De Boer B. Cryptanalysis of FEAL // Proc. Eurocrypt-88. — Lect. Notes in Comp. Sei. - 1991. - Vol. 330. - P. 293-299.

[59] Biham E., Shamir A. Differential cryptanalysis of FEAL and N-Hash // Proc. Eurocrypt-91. — Lect. Notes in Comp. Sei. — 1991. — Vol. 547. — P. 1-16.

[60] Biham E., Shamir A. Differential cryptanalysis of the full 16-round DES // Proc. Crypto-92. - Lect. Notes in Comp. Sei. - 1993. - Vol. 740. -P. 487-496.

[61] Biham E., Dunkelman O., Keller N. Improved slide attacks // Proc. Fast Software Encryption-07. — Lect. Notes in Comp. Sei. — 2007. - Vol. 4593. — P. 153-166.

[62] Biryukov A. The boomerang attack on 5 and 6-round reduced AES // Proc. 4th Intern. Conf. AES-2004. - Lect. Notes in Comp. Sei. - 2005. -Vol. 3373. - P. 11-15.

[63] Biryukov A., Kushilevitz E. From Differential Cryptanalysis to Ciphertext-Only Attacks // Proc. Crypto-98. — Lect. Notes in Comp. Sei. — 1998. — Vol. 1462. - P. 72-88.

[64] Biryukov A., Khovratovich D. Related-key Cryptanalysis of the Full AES-192 and AES-256 // Proc. Asiacrypt-09. - Lect. Notes in Comp. Sei. -2009. - Vol. 5912. - P. 1-18.

[65] Biryukov A., Khovratovich D., Nikolic I. Distinguisher and related-key attack on the full AES-256 // Proc. Crypto-09. — Lect. Notes in Comp. Sei. - 2009. - Vol. 5677. - P. 231-249.

[66] Biryukov A., Kushilevitz E. Improved cryptanalysis of RC5 // Proc. Eurocrypt-98. - Lect. Notes in Comp. Sei. - 1998. - Vol. 1403. - P. 85-99.

[67] Biryukov A., Shamir A. Structural cryptanalysis of SASAS // Proc.

Eurocrypt-01. - Lect. Notes in Comp. Sei. - 2001. - Vol. 2045. -P. 394-405.

[68] Biryukov A., Wagner D. Advanced Slide Attacks // Proc. Eurocrypt-00. — Lect. Notes in Comp. Sei. - 2000. - Vol. 1807. - P. 589-606.

[69] Biryukov A., Wagner D. Slide Attacks // Proc. Fast Software Encryption-99. - Lect. Notes in Comp. Sei. - 1999. - Vol. 1636. -P. 245-259.

[70] Borst J., Knuds en L., Rijmen V. Two Attacks on Reduced Round IDEA // Proc. Eurocrypt-97. - Lect. Notes in Comp. Sei. - 1997. - Vol. 1233. -P. 1-13.

[71] Brian Gladman's Home Page. — http://www.gladman.me.uk/.

[72] Brown L., Pieprzyk J. Introducing the New LOKI97 Block Cipher // AES submission. — 1998.

[73] Burwick C. et al. MARS - a candidate cipher for AES // AES submission. — 1999.

[74] Chabaud F., Vaudenay S. Links between Differential and Linear Cryptanalysis // Proc. Eurocrypt-94. — Lect. Notes in Comp. Sei. — 1995. — Vol. 950. - P. 356-365.

[75] Collard B., Standaert F., Quisquater J. Improved and Multiple Linear Cryptanalysis of Reduced Round Serpent // Proc. Information Security and Cryptology-08. - Lect. Notes in Comp. Sei. - 2008. - Vol. 4990. -P. 51-65.

[76] Courtois N., Pieprzyk J. Cryptanalysis of Block Ciphers with Overdefined Systems of Equations // Proc. Asiacrypt-02. — Lect. Notes in Comp. Sei. — 2002. - Vol. 2501. - P. 267-287.

[77] Crypto++ Library. — http://www.cryptopp.com/.

[78] CRYPTREC project. - http://www.ipa.go.jp/security/enc/CRYPTREC.

[79] Daemen J., Knudsen L., Rijmen V. The block cipher Square // Proc. Fast Software Encryption-97. - Lect. Notes in Comp. Sei. - 1997. - Vol. 1267. -

P. 149-165.

[80] Daemen J., Rijmen V. The Design of Rijndael: AES-the Advanced Encryption Standard / Springer-Verlag, 2002. — 255 p.

[81 [82

[83

[84 [85

[86

[87

[88

[89

[90

[91

Data Encryption Standard.

De Canniere C., Biryukov A., Preneel B. An Introduction to Block Cipher Crypt analysis // Proc IEEE. - 2006. - Vol. 94, № 2. - P. 346-356. Demirci H., Türe E., Selcuk A. A New Meet-in-the-Middle Attack on the IDEA Block Cipher // Proc. Selected Areas of Cryptography-04. — Lect. Notes in Comp. Sei. - 2004. - Vol. 3006. - P. 117-129. The eSTREAM Project. — http://www.ecrypt.eu.org/stream/. Feistel H. Cryptography and Computer Privacy // Scientific American. — 1973. - Vol. 228, № 5. - P. 15-23.

Ferguson N. Impossible differentials in Twofish // Twofish Technical Report-5. - 1999.

Ferguson N. et al. Improved cryptanalysis of Rijndael // Proc. Fast Software Encryption-01. - Lect. Notes in Comp. Sei. - 2001. - Vol. 1978. -P. 213-230.

Ferguson N. The Skein Hash Function Family, Version 1.3 // SHA-3 submission. — 2010.

Ferguson N., Schroeppel R., Whiting D. A simple algebraic representation of Rijndael // Proc. Selected Areas of Cryptology-01. — Lect. Notes in Comp. Sei. - 2001. - Vol. 2259. - P. 103-115.

Georgoudis D. et al. The FROG Encryption Algorithm // AES submission. — 1998.

Hassan H., Saeb M., Hamed H. The PYRAMIDS Block Cipher // International Journal of Network Security. — 2005. — Vol. 1, № 1. — P. 52-60.

Hatano Y., Sekine H., Kaneko T. Higher order differential attack of Camellia(II) // Proc. Selected Areas of Cryptography-02. — Lect. Notes

in Comp. Sci. - 2003. - Vol. 2595. - P. 39-56.

[93] Hong D. et al HIGHT: A New Block Cipher Suitable for Low-Resource Device // Proc. CHES-06. - Lect. Notes in Comp. Sci. - 2006. -Vol. 4249. - P. 46-59.

[94] Isobe T. A Single-Key Attack on the Full GOST Block Cipher // J. Cryptology. - 2013. - Vol. 26. - P. 172-189.

[95] Jakobsen T., Knudsen L. The interpolation attack on block ciphers // Proc. Fast Software Encryption-97. — Lect. Notes in Comp. Sci. — 1997. — Vol. 1267. - P. 28-40.

[96] Java SE Security. — http://www.oracle.com/technetwork/java/javase/ tech / index-jsp-136007 .html /.

[97] Junod P. New Attacks Against Reduced-Round Versions of IDEA // Proc. Fast Software Encryption-05. — Lect. Notes in Comp. Sci. — 2005. — Vol. 3557. - P. 384-397.

[98] Kara O. Reflection Cryptanalysis of Some Ciphers // Proc. Indocrypt-08. — Lect. Notes in Comp. Sci. - 2008. - Vol. 5365. - P. 294-307.

[99] Kelsey J., Kohno T., Schneier B. Amplified boomerang attacks againts reduced-round MARS and Serpent // Proc. Fast Software Encryption-00. — Lect. Notes in Comp. Sci. - 2001. - Vol. 1978. - P. 75-93.

[100] Kelsey J., Schneier B. MARS attacks! Preliminary cryptanalysis of reduced-round MARS variants // Proc. Third AES Candidate Conf. - 2000.

[101] Kelsey J. et al. Side-Channel Cryptanalysis on Product Ciphers // J. of Comp. Security. - 2000. - Vol. 8. - P. 141-158.

[102] Khovratovich D., Nikolic I. Rotational Cryptanalysis of ARX // Proc. Fast Software Encryption-10. — Lect. Notes in Comp. Sci. — 2010. — Vol. 6147. — P. 333-346.

[103] Kilian JRogaway P. How to protect DES against exhaustive search //J. Cryptology. - 2001. - Vol. 14. - P. 17-35.

[104] Kim J., Hong S., Preneel B. Related-key rectangle attacks on reduced

AES-192 and AES-256 // Proc. Fast Software Encryption-07. - Lect. Notes in Comp. Sei. - 2007. - Vol. 4593. - P. 225-241.

[105] Knudsen L., Wagner D. Truncated and Higher-Order Differentials // Proc. Fast Software Encryption-95. — Lect. Notes in Comp. Sei. — 1995. — Vol. 1008. - P. 196-211.

[106] Knudsen L. R. and Robshaw M. J. B. Truncated differentials and Skipjack 11 LNCS. 1999. V. 1666. P. 165-180.

[107] Knudsen L., Wagner D. Integral cryptanalysis // Proc. Fast Software Encryption-02. - Lect. Notes in Comp. Sei. - 2002. - Vol. 2365. -P. 629-632.

[108] Ko Y. et al. Related key differential attacks on 27 rounds of xtea and full-round gost // Proc. Fast Software Encryption-04. — Lect. Notes in Comp. Sei. - 2004. - Vol. 3017. - P. 299-316.

[109] Kocher P. Timing Attacks on Implementation of DifRe-Hellman, RSA, DSS, and Other Systems // Proc. Crypto-96. — Lect. Notes in Comp. Sei. — 1996. - Vol. 1109. - P. 104-113.

[110] Kocher P., Jaffe J., Jun B. Differential Power Analysis // Proc. Crypto-99. - Lect. Notes in Comp. Sei. - 1999. - Vol. 1666. - P. 388-397.

[111] Lai X., Massey J, Markov Ciphers and Differential Cryptanalysis // Proc. Eurocrypt-91. - Lect. Notes in Comp. Sei. - 1991. - Vol. 547. - P. 17-38.

[112] Lai X., Massey J. A Proposal for a New Block Encryption Standard // Proc. Eurocrypt-90. - Lect. Notes in Comp. Sei. - 1991. - Vol. 473. -P. 389-404.

[113] LCP. — http://www.lcpsoft.com/.

[114] L'Ecuyer P. Random numbers // Intern. Encyclopedia of the Social and Behavioral Sciences. - Pergamon, Oxford, 2002. - P. 12735-12738.

[115] L'Ecuyer P. Tables of linear congruential generators of different sizes and good lattice structure // Math, of Computation. — 1999. — Vol. 68. — P. 249-260.

[116] Lu J. et al. New Impossible Differential Attacks on AES // Proc. Indocrypt-02. - Lect. Notes in Comp. Sei. - 2008. - Vol. 5365. -P. 279-293.

[117] Lu J. Cryptanalysis of Block Ciphers // Technical Report RHUL-MA-2008-19. - Royal Holloway University of London, 2008.

[118] Lucks S. The Saturation Attack — a Bait for Twofish // Proc. Fast Software Encryption-01. - Lect. Notes in Comp. Sei. - 2002. - Vol. 2355. -P. 187-205.

[119] Matsui M. Linear cryptanalysis method for DES cipher // Proc. Eurocrypt-93. — Lect. Notes in Comp. Sei. — 1994. — Vol. 765. — P. 205-218.

[120] Matsui M. The First Experimental Cryptanalysis of the Data Encryption Standard // Proc. Eurocrypt-94. — Lect. Notes in Comp. Sei. — 1994. — Vol. 839. - P. 1-11.

[121] Maurer U. A universal statistical test for random bit generators // J. Cryptology. - 1992. - Vol. 5. - P. 89-105.

[122] MCrypt. —http://mcrypt.sourceforge.net/.

[123] Monarev V., Pestunov A. A new compression-based method for estimating LSB replacement rate in color and grayscale images // Proc. The Seventh International Conference on Intelligent Information Hiding and Multimedia Signal Processing (IIH-MSP-2011). - 2011. - P. 57-60.

[124] Moriai S., Yin Y. Cryptanalysis of Twofish (II) // The Institute of Economics, Information and Communication Engineers, 2000.

[125] Nakahara J. et al. The MESH Block Ciphers // Proc. WISA-03. - Lect. Notes in Comp. Sei. - 2004. - Vol. 3108. - P. 458-473.

[126] Nakahara J., Preneel B., Vandewalle J. The Biryukov-Demirci Attack on Reduced-Round Versions of IDEA and MESH Ciphers // Proc. ACISP-04. - Lect. Notes in Comp. Sei. - 2004. - Vol. 3108. - P. 98-109.

[127] Nyberg K. Linear Approximations of Block Ciphers // Proc.

Eurocrypt-94. — Lect. Notes in Comp. Sei. — 1995. — Vol. 950. — P. 439-444.

[128] Nyberg K. Perfect Nonlinear S-Boxes // Proc. Eurocrypt-91. — Lect. Notes in Comp. Sei. - 1991. - Vol. 547. - P. 378-385.

[129] Nyberg K., Knudsen L. Provable Security Against a Differential Attack //J. of Cryptology. - 1995. - Vol. 8. - P. 27-37.

[130] New European Schemes for Signatures, Integrity, and Encryption (NESSIE) project. — http://www.cosic.esat.kuleuven.ac.be/nessie/.

[131] Pestunov A. Differential cryptanalysis of 24-round CAST-256 // Proc. of IEEE Region 8 International Conf. on Computational Technologies in Electrical and Electronic Engineering (Sibircon-2008). — Novosibirsk, 2008. - P. 46-49.

[132] Pestunov A. Differential Cryptanalysis of Reduced-Round MARS // Proc. XI Intern. Symp. on Probl. of Redundancy in Inform, and Control Systems. - Saint Petersburg, 2007. - P. 197-201.

[133] Pestunov A. Statistical Analysis of the MARS Block Cipher // Cryptology ePrint Archive. — 2006. — Report 2006/217. — http://eprint.iacr.org/.

[134] Quisquater J., Samyde D. Electromagnetic analysis (EMA): Measures and counter-measures for smart cards // Proc. Int. Conf. Research in Smart Cards. - 2001. - P. 200-210.

[135] Rivest R. The RC5 Encryption Algorithm // Proc. Fast Software Encryption-94. - Lect. Notes in Comp. Sei. - 1995. - Vol. 1008. - P. 86-96.

[136] Rubinstein R., Kroese D. Simulation and the Monte Carlo Method: 2nd ed. - New York: John Wiley&Sons, 2007. - 377 p.

[137] Rukhin A. et al. A statistical test suite for random and pseudorandom number generators for cryptographic applications // NIST Special Publication 800-22.

[138] Ryabko B., Stognienko V., Shokin Yu. A New Test for Randomness and its Application to Some Cryptographic Problems // J. of Statistical Planning

and Reference. - 2004. - Vol. 123, № 2. - P. 365-376.

[139] Seki H., Kaneko T. Differential cryptanalysis of reduced rounds of gost // Proc. Selected Areas of Cryptography-00. — Lect. Notes in Comp. Sci. — 2000. - Vol. 2012. - P. 315-323.

[140] Schneier B. A Self-study course in block-cipher cryptanalysis / Cryptologia, 2000. - Vol. 24, № 1. - P. 18-34.

[141] Schneier B. Description of a New Variable-Length Key, 64-Bit Block Cipher (Blowfish) // Proc. Fast Software Encryption-93. — Lect. Notes in Comp. Sci. - 1994. - Vol. 809. - P. 191-204.

[142] Schroeppel R. Hasty Pudding Cipher Specification // AES submission. — 1999.

[143] Seki H., Kaneko T. Differential Cryptanalysis of CAST-256 Reduced to Nine Quad-Rounds // IEICE Trans. Fundam. Electron. Commun. Comput. Sci. - 2001. - Vol. E84-A, № 4. - P. 913-918.

[144] Shimizu A., Miyaguchi S. Fast Data Encipherment Algorithm FEAL // Proc. Eurocrypt-87. - Lect. Notes in Comp. Sci. - 1988. - Vol. 304. -P. 267-278.

[145] Shirai T. Differential, linear, boomerang and rectangle cryptanalysis of reduced-round Camellia // Proc. The Third NESSIE Workshop. - 2002.

[146] Selcuk A. On probability of success in linear and differential cryptanalysis // J. Cryptology. 2007. No. 21. P. 131-147.

[147] Selcuk A., Bicak A. On Probability of Success in Linear and Differential Cryptanalysis // Proc. SCN-02. - Lect. Notes in Comp. Sci. - 2002. — Vol. 2576. - P. 174-185.

[148] Sorkin A. Lucifer, a Cryptographic Algorithm // Cryptologia. — 1984. — Vol. 8, № 1. - P. 22-41.

[149] Wagner D. The boomerang Attack // Proc. Fast Software Encryption-99. — Lect. Notes in Comp. Sci. - 1999. - Vol. 1636. - P. 156-170.

[150] Vaudenay S. Decorrelation — a Theory for Block Cipher Security // J. of

Cryptology. - 2002. - Vol. 16, № 4. - P. 249-286.

[151] Wheeler D. et al. TEA, a Tiny Encryption Algorithm // Proc. Fast Software Encryption-94. - Lect. Notes in Comp. Sei. - 1995. - Vol. 1008. -P. 363-366.

[152] Wu H. Related-Cipher Attacks // Proc. Intern. Conf. on Inform., Communications and Signal Processing-02. — Lect. Notes in Comp. Sei. — 2002. - Vol. 2513. - P. 447-455.

[153] Wu W., Feng D., Chen H. Collision attack and pseudo-randomness of reduced-round Camellia // Proc. Selected Areas of Cryptography-04. — Lect. Notes in Comp. Sei. - 2005. - Vol. 3357. - P. 256-270.

[154] Wu W., Zhang W., Feng D. Impossible differential cryptanalysis of reduced-round ARIA and Camellia // J. of Computer Science and Technology. — 2007. - Vol. 22 (3). - P. 449-456.

[155] Yeom Y., Park S., Kim I. On the security of Camellia against the square attack // Proc. Fast Software Encryption-02. — Lect. Notes in Comp. Sei. — 2002. - Vol. 2356. - P. 89-99.

[156] Yeom Y., Park S., Kim I. A study of integral type cryptanalysis on Camellia // Proc. Information Security and Cryptology-03. — Lect. Notes in Comp. Sei. - 2003. - P. 453-456.