Caja S Rijndael

Caja de sustitución utilizada en el cifrado Rijndael

El Rijndael S-box es un cuadro de sustitución ( tabla de búsqueda ) utilizado en el cifrado Rijndael, en el que se basa el algoritmo criptográfico del Estándar de cifrado avanzado (AES) . ^[1]

Caja S delantera

La S-box asigna una entrada de 8 bits, c , a una salida de 8 bits, s = S ( c ) . Tanto la entrada como la salida se interpretan como polinomios sobre GF(2) . Primero, la entrada se asigna a su inverso multiplicativo en GF(2 ⁸ ) = GF(2) [ x ]/( x ⁸ + x ⁴ + x ³ + x + 1 ) , el campo finito de Rijndael . El cero, como identidad, está mapeado a sí mismo. Esta transformación se conoce como Nyberg S-box en honor a su inventora Kaisa Nyberg . ^[2] Luego, el inverso multiplicativo se transforma utilizando la siguiente transformación afín :

${\displaystyle {\begin{bmatrix}s_{0}\\s_{1}\\s_{2}\\s_{3}\\s_{4}\\s_{5}\\s_{6}\\s_{7}\end{bmatrix}}={\begin{bmatrix}1&0&0&0&1&1&1&1\\1&1&0&0&0&1&1&1\\1&1&1&0&0&0&1&1\\1&1&1&1&0&0&0&1\\1&1&1&1&1&0&0&0\\0&1&1&1&1&1&0&0\\0&0&1&1&1&1&1&0\\0&0&0&1&1&1&1&1\end{bmatrix}}{\begin{bmatrix}b_{0}\\b_{1}\\b_{2}\\b_{3}\\b_{4}\\b_{5}\\b_{6}\\b_{7}\end{bmatrix}}+{\begin{bmatrix}1\\1\\0\\0\\0\\1\\1\\0\end{bmatrix}}}$

donde [ s ₇ , ..., s ₀ ] es la salida del S-box y [ b ₇ , ..., b ₀ ] es el inverso multiplicativo como vector.

Esta transformación afín es la suma de múltiples rotaciones del byte como vector, donde la suma es la operación XOR:

${\displaystyle s=b\oplus (b\lll 1)\oplus (b\lll 2)\oplus (b\lll 3)\oplus (b\lll 4)\oplus 63_{16}}$

donde b representa el inverso multiplicativo, es el operador XOR bit a bit , es un desplazamiento circular bit a bit hacia la izquierda y la constante 63 ₁₆ = 01100011 ₂ se proporciona en hexadecimal . ${\displaystyle \oplus }$ ${\displaystyle \lll }$

Una formulación equivalente de la transformación afín es

${\displaystyle s_{i}=b_{i}\oplus b_{(i+4)\operatorname {mod} 8}\oplus b_{(i+5)\operatorname {mod} 8}\oplus b_{(i+6)\operatorname {mod} 8}\oplus b_{(i+7)\operatorname {mod} 8}\oplus c_{i}}$

donde s , b y c son matrices de 8 bits, c es 01100011 ₂ y los subíndices indican una referencia al bit indexado. ^[3]

Otro equivalente es:

${\displaystyle s=\left(b\times 31_{10}\mod {257_{10}}\right)\oplus 99_{10}}$^{[4] [5]}

donde es la multiplicación polinomial de y se toma como matrices de bits. ${\displaystyle \times }$ ${\displaystyle b}$ ${\displaystyle 31_{10}}$

Caja S inversa

La S-box inversa es simplemente la S-box ejecutada al revés. Por ejemplo, la caja S inversa de b8 ₁₆ es 9a ₁₆ . Se calcula calculando primero la transformación afín inversa del valor de entrada, seguida de la inversa multiplicativa. La transformación afín inversa es la siguiente:

${\displaystyle {\begin{bmatrix}b_{0}\\b_{1}\\b_{2}\\b_{3}\\b_{4}\\b_{5}\\b_{6}\\b_{7}\end{bmatrix}}={\begin{bmatrix}0&0&1&0&0&1&0&1\\1&0&0&1&0&0&1&0\\0&1&0&0&1&0&0&1\\1&0&1&0&0&1&0&0\\0&1&0&1&0&0&1&0\\0&0&1&0&1&0&0&1\\1&0&0&1&0&1&0&0\\0&1&0&0&1&0&1&0\end{bmatrix}}{\begin{bmatrix}s_{0}\\s_{1}\\s_{2}\\s_{3}\\s_{4}\\s_{5}\\s_{6}\\s_{7}\end{bmatrix}}+{\begin{bmatrix}1\\0\\1\\0\\0\\0\\0\\0\end{bmatrix}}}$

La transformación afín inversa también representa la suma de múltiples rotaciones del byte como un vector, donde la suma es la operación XOR:

${\displaystyle b=(s\lll 1)\oplus (s\lll 3)\oplus (s\lll 6)\oplus 5_{16}}$

donde está el operador XOR bit a bit , es un desplazamiento circular bit a bit hacia la izquierda y la constante 5 ₁₆ = 00000101 ₂ se proporciona en hexadecimal . ${\displaystyle \oplus }$ ${\displaystyle \lll }$

Criterio de diseño

La Rijndael S-box fue diseñada específicamente para ser resistente al criptoanálisis lineal y diferencial . Esto se hizo minimizando la correlación entre transformaciones lineales de bits de entrada/salida y, al mismo tiempo, minimizando la probabilidad de propagación de la diferencia.

La Rijndael S-box se puede reemplazar en el cifrado Rijndael, ^[1] lo que derrota la sospecha de una puerta trasera integrada en el cifrado que explota una S-box estática. Los autores afirman que es probable que la estructura de cifrado de Rijndael proporcione suficiente resistencia contra el criptoanálisis diferencial y lineal incluso si se utiliza una caja S con propiedades "promedio" de correlación/diferencia de propagación (cf. las propiedades "óptimas" de la caja S de Rijndael ).

Ejemplo de implementación en lenguaje C

El siguiente código C calcula la S-box:

#incluir <stdint.h> #define ROTL8(x,shift) ((uint8_t) ((x) << (shift)) | ((x) >> (8 - (shift))))void inicialize_aes_sbox ( uint8_t sbox [ 256 ]) { uint8_t p = 1 , q = 1 ; /* invariante de bucle: p * q == 1 en el campo de Galois */ do { /* multiplicar p por 3 */ p = p ^ ( p << 1 ) ^ ( p & 0x80 ? 0x1B : 0 );                        /* divide q entre 3 (es igual a multiplicación por 0xf6) */ q ^= q << 1 ; q ^= q << 2 ; q ^= q << 4 ; q ^= q & 0x80 ? 0x09 : 0 ;                    /* calcular la transformación afín */ uint8_t xformed = q ^ ROTL8 ( q , 1 ) ^ ROTL8 ( q , 2 ) ^ ROTL8 ( q , 3 ) ^ ROTL8 ( q , 4 );               sbox [ p ] = xformed ^ 0x63 ; } mientras ( p ! = 1 );        /* 0 es un caso especial ya que no tiene inverso */ sbox [ 0 ] = 0x63 ; }  

Referencias

1. "El cifrado de bloques de Rijndael" (PDF) . Consultado el 11 de noviembre de 2013 .
2. Nyberg K. (1991) Cajas S no lineales perfectas. En: Davies DW (eds) Avances en criptología – EUROCRYPT '91. EUROCRYPT 1991. Apuntes de conferencias sobre informática, vol 547. Springer, Berlín, Heidelberg
3. "El estándar de cifrado avanzado" (PDF) . FIPS PUB 197: el estándar oficial AES . Estándar federal de procesamiento de información . 2001-11-26 . Consultado el 29 de abril de 2010 .
4. Jörg J. Buchholz (19 de diciembre de 2001). "Implementación de Matlab del estándar de cifrado avanzado" (PDF) .
5. Jie Cui; Liusheng Huang; Hong Zhong; Chinchén Chang; Wei Yang (mayo de 2011). "Una S-box AES mejorada y su análisis de rendimiento" (PDF) .