Simon & Speck

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

בקריפטוגרפיה, Simon ו-Speck הן משפחות של צופן בלוקים קלי-משקל במבנה פייסטל בסגנון ARX, שפותחו ופורסמו ביוני 2013 על ידי הסוכנות לבטחון לאומי של ארצות הברית במטרה להכשירם כתקן הצפנה על ידי ארגוני התקינה הבינלאומיים[1][2]. היעד של הצפנים הללו הוא למלא את הצורך בצופן קל משקל, גמיש ונוח לניתוח, המציע תפוקה וביצועים מצוינים, בעיקר לאינטרנט של הדברים - חומרה מוגבלת משאבים וצריכת אנרגיה נמוכה מאד. Simon מכוון בעיקר לביצועים אופטימליים בחומרה ואילו Speck מכוון לביצועים אופטימליים בתוכנה.

רקע ומוטיבציה

הצפנים הסימטריים כמו AES שפותחו בעשור הקודם נועדו בעיקר למחשבים שולחניים ושרתים והם אינם מתאימים במיוחד לחומרה דלת משאבים כמו RFID או סנסורים אלחוטיים, כי הם פותחו בטרם המחשוב המפושט (Pervasive Computing) פרץ לתודעה. כיום בעידן האינטרנט של הדברים התקנים רבים בעלי חומרה זעירה צריכים להתקשר ביניהם באופן אלחוטי. ובטחון הוא מצרך חשוב במרביתם, רצוי שהאקר לא יצליח להשתלט מרחוק על משאבת אינסולין או על בלמים של רכב בזמן נסיעה.

תחום חדש יחסית הנקרא צופן בלוקים קל משקל אמור לתת מענה לבעיה זו. קיים כיום היצע רחב וארגוני התקינה שוקדים על הכנסת צפנים כאלה לתקנים הבינלאומים, ביניהם נמנים PRESENT, KATAN, KLEIN או Picolo. הצפנים Simon ו-Speck אמורים להשתלב בין הצפנים קלי המשקל תוך שהם מפגינים בטחון הכרחי כנדרש, גמישות וביצועים טובים ביותר ונפח הקטן ביותר האפשרי לעומת הצפנים המתחרים. צופן בלוקים הוא פרימיטיב קריפטוגרפי ורסטילי ולו שימושים רבים כחלק מפרוטוקולים ומערכות הצפנה ולכן חשיבותו רבה. היות שהתחום צעיר, לא קיימת הגדרה ברורה למושג "קל משקל". באופן כללי מתייחסים לשני נושאים, מימוש מינימלי בחומרה במונחים של תואמי שערים לוגיים (GE) או מימוש בתוכנה בכמות זיכרון SRAM או הבזק מינימליים. ניצול שטח קטן בחומרה פירושו פונקציית סבב פנימית פשוטה יותר גם אם המחיר הוא עלייה במספר הסבבים. בחומרה זעירה מסוג זה שלעיתים פועלת ללא מקור אנרגיה עצמאי, אין חשיבות רבה לתפוקה אלא מושם דגש יותר על צריכת אנרגיה נמוכה. למרות שלא הוגדר בתקן, המוסכמה היא תפוקה של 12 קילוביט לשנייה בתדר של 100 kHz. וכדי שיהיה שמיש צופן בלוקים קל משקל צריך להיות גמיש מספיק להתאמה למגוון פלטפורמות ולצורכי בטחון שונים. לדוגמה אם החומרה פחות מוגבלת רצוי שהצופן יוכל לנצל זאת לשיפור התפוקה על חשבון תוספת שערים.

לאור האמור קיימים מספר היבטים שיש להתחשב בהם כמו: סריאליות, מקביליות ותאימות. סריאליות משפיעה על היכולת למזער את שטח החומרה שהצופן מאכלס למשל אם הצופן עושה שימוש בתיבות החלפה קבועות קשה להתעלם מהשטח שהן תופסות לכן רצוי להימנע מכך. מסיבה זו למבנה ARX יתרון כי הוא אינו עושה שימוש בתיבות החלפה כלל, האי-ליניאריות שלו מושגת משילוב פעולות אריתמטיות בשדות אלגבריים שונים (חיבור מודולרי ו-XOR). מקביליות משפיעה על התפוקה של הצופן ותאימות מתייחסת ליכולת להתאים את האלגוריתם לשימוש ספציפי. לדוגמה בלוק בגודל 64 סיביות ומפתח באורך 128 סיביות בדרך כלל טיפוסיים לתוכנה בעוד שבחומרה לפעמים מעדיפים משיקולי יעילות בלוק באורך 48 סיביות ומפתח באורך 96 סיביות (כאשר מודל הבטחון מאפשר זאת). מסיבה זו Simon ו-Speck עוצבו באופן שיוכלו להשתלב במגוון תצורות (ראה טבלה).

אורך הבלוק אורך המפתח
32 64
48 72, 96
64 96, 128
96 96, 144
128 128, 192, 256

Simon

תיאור מבנה פייסטל של הפונקציה הפנימית בצופן Simon

צופן Simon הוא רשת פייסטל מאוזנת הפועלת על מילים באורך סיביות ולכן הבלוק באורך סיביות. הצופן מקבל בלוק קריא באורך סיביות ומחזיר בלוק מוצפן באורך סיביות. למען הנוחות הוא מסומן בקיצור SIMON2n כאשר . אם אז צופן SIMON2n עם מפתח באורך מסומן בקיצור SIMON2n/mn. לדוגמה SIMON64/128 מתייחס לגרסה הפועלת על מילים באורך 32 סיביות, בלוק באורך 64 סיביות ומפתח באורך 128 סיביות. הצפנה ופענוח ב-SIMON2n עושה שימוש בשלוש פעולות בסיסיות בלבד בסגנון ARX הידוע בחוסנו וקיים בשימוש צפנים רבים ביניהם Salsa20 והם: XOR, AND והזזה מעגלית כאשר מציין את מספר הפוזיציות שיש להזיז (אם שלילי ההזזה היא לימין).

פונקציית הסבב

עבור מפתח (מחרוזת אקראית באורך סיביות) פונקציית הסבב תלויית המפתח מתבצעת בשני שלבים. מיפוי פייסטל המוגדר על ידי

והפונקציה כאשר הוא מפתח הסבב.

הביטוי פירושו הזזה מעגלית של לשמאל סיביות והסימן & מייצג את האופרטור AND. הפונקציה ההופכית של פונקציית הסבב הנחוצה לצורך הפענוח היא . לעיתים קרובות משקולי יעילות מיישמים את הצפנים הללו בתצורה שבה יש צורך רק בפונקציית ההצפנה שהיא טובה גם להצפנה וגם לפענוח (ראה מצב מונה לדוגמה).

תהליך הכנת המפתח מקבל את המפתח שסופק על ידי המשתמש ומייצר ממנו סדרה של מילים: . כאשר הוא מספר הסבבים. ההצפנה היא בעצם הרכבה של הפונקציות (מימין לשמאל).

כדי לחסוך במעגלים צופן Simon אינו כולל שלב הלבנה כלל וכן בניגוד ל-AES כל הסבבים זהים לחלוטין למעט המפתח. צופן Simon סימטרי לחלוטין ביחס לפעולת ההזזה המעגלית. בגלל מבנה פייסטל הסבב הראשון והסבב האחרון אינם מבצעים פעולה קריפטוגרפית כלשהי מלבד טעינת המפתח המתאים, כי הם למעשה מבטלים זה את זה (במבנה פייסטל מחצית מבלוק הקלט מוצפנת עם המחצית השנייה כאשר השנייה נותרת ללא שינוי, ראה תרשים).

הכנת המפתח

תהליך הכנת המפתח של Simon כולל שימוש בסדרה של קבועי סבב באורך סיבית אחת. תוספת זו הוכנסה כדי להרוס את הסימטריות של ההזזה המעגלית וכן כדי לסכל התקפת גלישה. למעשה וריאציות של Simon מופרדות באופן קריפטוגרפי על ידי חמש סדרות שונות של קבועים: . כל אחת מהן היא פונקציה של אחת משלוש הסדרות המחזוריות הקבועות עם מחזוריות באורך 31 סיביות שאותן מחשבים לפי מטריצות קבועות המובאות להלן. את חמש הסדרות של הקבועים מחשבים כדלהלן: שתי הראשונות הן למעשה וכן . שלוש הנותרות ו- הן בעלי מחזוריות באורך 62 סיביות ואותן מחשבים על ידי XOR של הסדרה המחזורית במחזוריות 2 (שהיא המחרוזת "01010101...") עם הסדרות ו- בהתאמה. המטריצות להכנת ו- הן שלוש מטריצות קבועות מסדר מעל :

הסיבית ה- בכל רצף מחושבת על ידי איתחול אוגר זיזה ממושב באורך חמש סיביות בערכים 00001, ואז מפעילים את האוגר פעמים עם המטריצה המתאימה, וחילוץ הסיבית המשמעותית ביותר. למשל .

יהי שהוא מחרוזת של אחדים המסתיימת בשני אפסים (""). אז עם מילות המפתח הסודי של המשתמש ומחרוזת הקבועים , מחשבים תת-מפתחות נוספים עבור כל הסבבים של הצופן:

עבור . שים לב שהמילים עד משמשים ל- הסבבים הראשונים של הצופן, הם נטענים כמו שהם לאוגר הזיזה כאשר מצד ימין ו- מצד שמאל (הצד העליון או הכי משמעותי של הערך). הטבלה הבאה כוללת את כל הקבועים תלויי הגרסה של Simon.

אורך הבלוק אורך המפתח גודל מילה מספר מילות המפתח הקבוע seq מספר סבבים
32 64 16 4 32
48 72 24 3 36
96 4 36
64 96 32 3 42
128 4 44
96 96 48 2 52
144 3 54
128 128 64 2 68
192 3 69
256 4 72

פסידו-קוד

הקלט הוא בלוק הטקסט הגלוי כשהוא מחולק לשני חצאים והמפתח הסודי באורך מילים המסומנות ב- עד .

,

הסמל מייצג פעולת XOR, הסימן מייצג את אופרטור השלילה, הביטוי פירושו שהערך המצוי בכניסה מסובב בהזזה מעגלית לימין 3 סיביות. שים לב שהלולאה הראשונה היא הכנת המפתח והלולאה השנייה היא ההצפנה.

Speck

תיאור מבנה פייסטל של הפונקציה הפנימית בצופן Speck

לצופן Speck יש עשר גרסאות שכולן עוצבו כדי להשיג ביצועים אופטימליים במיוחד בתוכנה. בדומה לצופן הקודם את הגרסאות השונות נהוג לסמן ב-SPECKn/mn, כמו למשל SPECK96/144 כשהכוונה היא לבלוק באורך 96 סיביות ומפתח באורך 144 סיביות. בצופן זה נוספה פעולה בסיסית של חיבור מלא מודולו . הצמצום המודולרי מתבצע באופן עקיף כי כשהתוצאה נחתכת בגבולות המילה הדבר דומה למודולו כך שאין צורך בחילוק. הפונקציה הפנימית היא:

.

כאשר אם (בלוק באורך 32) אחרת . קיים דמיון קל בין פונקציית הסבב של Speck לפונקציית הסבב של צופן Threefish. הפונקציה ההופכית של פונקציית הסבב הנחוצה בפענוח משתמשת בחיסור מודולו במקום חיבור והיא נראית כך:

.

הטבלה הבאה מציגה את כל הפרמטרים של גרסאות צופן Spec בהתאמה:

אורך הבלוק אורך המפתח גודל מילה מספר מילות מפתח הזזה מעגלית הזזה מעגלית מספר סבבים
32 64 16 4 7 2 22
48 72 24 3 8 3 22
96 4 23
64 96 32 3 8 3 26
128 4 27
96 96 48 2 8 3 28
144 3 29
128 128 64 2 8 3 32
192 3 33
256 4 34

תהליך הרחבת המפתח מקבל את המפתח הסודי של המשתמש ומפיק ממנו מפתחות כאשר הוא מספר הסבבים. ההצפנה היא הרכבה של הפונקציות (מימין לשמאל). במילים אחרות זהו מבנה המתקבל משילוב שתי העתקות דמויות רשת פייסטל ביחס לשתי סוגי פעולות חיבור, האחת: והשנייה .

הכנת מפתח

תהליך הכנת המפתח של Speck מנצל את פונקציית הסבב כדי להכין את המפתחות . אם הוא המפתח אפשר לכתוב אותו בצורה , כאשר עם ערך של . הסדרות ו- מוגדרות כך:

, וכן
. המילה היא מפתח הסבב ה- עבור .

פסידו-קוד

הקלט הוא בלוק הטקסט הגלוי כשהוא מחולק לשני חצאים והמפתח הסודי באורך מילים המסומנות ב-.

בטחון

היות שהצפנים Simon ו-Speck חדשים קיימת מעט קריפטואנליזה שלהם. השאיפה היא שהבטחון שהם מציעים קרוב ככל האפשר לאורך המפתח בסיביות. אמנם הם עברו קריפטואנליזה על ידי ה-NSA אך לא זכו לביקורת ציבורית מספקת. בשל ההיסטוריה השלילית של ה-NSA קיים חשש ניכר בעולם מפני חולשות נסתרות שאולי קיימות בהם, ה-NSA נאלץ לחזור בו מספר פעמים מההצעה לתקן לאחר שניתקל בספקנות וחשש מצד נציגי ועדת התקן הבינלאומי ולבסוף הסכים לוותר על כל הגרסאות החלשות ולהתמקד בגרסה החזקה ביותר של הצפנים. בכל אופן יש לזכור שהם פותחו בעיקר לסביבת מחשוב מוגבלת משאבים שבה בדרך כלל נאלצים להתפשר. כמו כן צריך לזכור שכמות המידע הזמינה לקריפטואנליזה במשך כל חיי ההתקן היא מזערית. בכל מקרה הצפנים הללו פותחו תוך מתן דגש על עמידות נגד התקפת כוח גס אדפטיבית עם כמות גדולה של מידע, עם חיסרון ברור שתיתכן הרעה קלה בבטחון בפקטור קטן.

בתחילה ה-NSA לא סיפקו קריפטואנליזה של הצפנים שלהם מלבד ציון העובדה שהם עברו ביקורת קפדנית בתוך הארגון במשך מספר שנים. הסיבה לטענתם לפרסום האלגוריתמים היא כדי לקבל משוב מהאקדמיה ולאפשר לצפנים להנות מביקורת ציבורית רחבת היקף. מאז פרסומם של הצפנים התפרסמו כמה קריפטואנליזות תאורטיות[3][4] שלא ברור מה מידת השפעתם על בטחון הצפנים. בשל הביקורת הציבורית פרסם ה-NSA בינואר 2018 מספר הבהרות בקשר לשיקולים והסיבות שהנחו אותם בפיתוח הצפנים וכן קריפטואנליזה שלהם[5].

סירוב ארגון התקינה הבינלאומי לתקנן את הצפנים

נציגים ממדינות רבות ביניהן ישראל, בלגיה, יפן וגרמניה בארגון התקינה הבינלאומי ISO התנגדו לניסיון של ה-NSA להוסיף את הצפנים שלהם לתקן הבינלאומי בקטגוריית צופן בלוקים קל משקל לחומרה זעירה[6]. הם הביעו דאגה שה-NSA מקדם את הצפנים שלו תוך ידיעה של חולשות נסתרות שכנראה הוכנסו בהם במכוון. ל-NSA היסטוריה עשירה של ניסיונות להחדיר לשוק האזרחי טכנולוגיות הצפנה פרי פיתוחם שידוע לפחות על חלקם שהכילו דלתות סתר וחולשות, חלקם הוחדרו במכוון וחלקם היו ידועים להם ונשמרו בסוד. לטענתם, ה-NSA לא סיפקו קריפטואנליזה, הסברים ושיקולים תאורטיים שהנחו אותם בפיתוח הצפנים ובעיקר בקביעת מספר הסבבים עבור כל וריאציה של הצפנים וכן השיקולים שהנחו אותם לבחירת המטריצות U,V ו-W בתהליך הכנת המפתח. ב-NSA הביעו תרעומת על כך שארגון התקינה בחר שלא לקבל את הצפנים שלהם שלטענתם טובים מאד, למרות שלא הייתה כל בעיה לקבל צפנים שפותחו על ידי הרוסים או הסינים[7]. ד"ר תומר אשור המייצג את בלגיה בוועדת התקינה הגיב: "ארגון ה-NSA התנהג בבריונות וסירב לבקשות הוועדה לקבלת הסברים וכמעט שהצליח בכך", לדעתו "לארגוני מודיעין אין מקום בתקינה אזרחית". אור דונקלמן המייצג את ישראל בארגון התקינה אמר "קיימים אנשים רבים ב-NSA שחושבים שהעבודה שלהם היא להחליש את התקן, תפקידי הוא לחזק אותו". הצפנים היחידים הנתמכים על ידי התקן נכון ל-2018 הם CLEFIA ו-PRESENT.

ברוס שנייר התבטא בבלוג שלו[8] כי הוא אינו מאמין שהצפנים Simon ו-Speck מכילים חולשות נסתרות או דלתות סתר כלשהן. "זה מסקרן לדעת מדוע בכלל הצפנים האלו פורסמו ולמה דווקא בעיתוי זה" הוא אמר. "זה תמיד מרתק לנתח צפנים שפותחו על ידי ה-NSA, בעיקר משך את תשומת ליבי הדמיון של חלקים של Speck ל-Threefish (ששנייר הוא אחד ממפתחיו). התרשמתי ביותר מתהליך הכנת המפתח שלהם, זה תמיד מרתק לראות צופן של ה-NSA, זה כמו להתבונן בטכנולוגיה חייזרית...".

קוד לדוגמה

להלן קוד ייחוס של האלגוריתם בגרסה החזקה ביותר שלו Speck128/256 בשפת C++‎.

typedef unsigned __int64 uint64;

#define ROR(x, r) ((x >> r) | (x << (64 - r)))
#define ROL(x, r) ((x << r) | (x >> (64 - r)))
#define R(x, y, k) (x = ROR(x, 8), x += y, x ^= k, y = ROL(y, 3), y ^= x)

void speck_encrypt(uint64 const pt[2], uint64 ct[2], uint64 const K[4])
{
	uint64 i, b = K[0], a[3];
	ct[0] = pt[0]; ct[1] = pt[1];

	for (i = 0; i < 3; i++){
		a[i] = K[i + 1];
	}

	R(ct[1], ct[0], b);
	for (i = 0; i < 33; i++) {
		R(a[i % 3], b, i);
		R(ct[1], ct[0], b);
	}
}

#define RR(x, y, k) (y ^= x, y = ROR(y, 3), x ^= k, x -= y, x = ROL(x, 8))

void speck_decrypt(uint64 const ct[2], uint64 pt[2], uint64 const K[4])
{
	uint64 i, b = K[0], a[3];
	pt[0] = ct[0]; pt[1] = ct[1];

	for (i = 0; i < 3; i++){
		a[i] = K[i + 1];
	}

	for (i = 0; i < 33; i++){
		R(a[i % 3], b, i);
	}

	for (i = 0; i < 34; i++) {
		RR(pt[1], pt[0], b);
		RR(a[((32) - i) % 3], b, (32 - i));
	}
}

ראו גם

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

24615168Simon & Speck