Félix

Phelix es un cifrador de flujo de alta velocidad con una funcionalidad de código de autenticación de mensajes (MAC) de una sola pasada incorporada , presentado en 2004 al concurso eSTREAM por Doug Whiting, Bruce Schneier , Stefan Lucks y Frédéric Muller. El cifrador utiliza únicamente las operaciones de adición módulo 2 ³² , o exclusivo y rotación por un número fijo de bits. Phelix utiliza una clave de 256 bits y un nonce de 128 bits , afirmando una solidez de diseño de 128 bits. Se han planteado inquietudes sobre la capacidad de recuperar la clave secreta si el cifrador se utiliza incorrectamente.

Phelix está optimizado para plataformas de 32 bits. Los autores afirman que puede alcanzar hasta ocho ciclos por byte en procesadores modernos basados ​​en x86 .

Las cifras de rendimiento del hardware FPGA publicadas en el artículo "Revisión de candidatos a cifrado de flujo desde una perspectiva de hardware de bajos recursos" ^{[ cita requerida ]} son ​​las siguientes:

Phelix es una forma ligeramente modificada de un cifrado anterior, Helix, publicado en 2003 por Niels Ferguson , Doug Whiting, Bruce Schneier , John Kelsey , Stefan Lucks y Tadayoshi Kohno ; Phelix agrega 128 bits al estado interno.

En 2004, Frédéric Muller publicó dos ataques a Helix. ^[1] El primero tiene una complejidad de 2 ⁸⁸ y requiere 2 ^{12 palabras} de texto simple elegido adaptativo , pero requiere que se reutilicen los nonces. Souradyuti Paul y Bart Preneel demostraron más tarde que la cantidad de palabras de texto simple elegido adaptativo del ataque de Muller se puede reducir por un factor de 3 en el peor de los casos (un factor de 46,5 en el mejor caso) utilizando sus algoritmos óptimos para resolver ecuaciones diferenciales de adición . En un desarrollo posterior, Souradyuti Paul y Bart Preneel demostraron que el ataque anterior también se puede implementar con textos simples elegidos (CP) en lugar de textos simples elegidos adaptativos (ACP) con una complejidad de datos de 2 ^35,64 CP. El segundo ataque de Muller a Helix es un ataque distintivo que requiere 2 ¹¹⁴ palabras de texto simple elegido.

El diseño de Phelix estuvo motivado en gran medida por el ataque diferencial de Muller.

El proyecto eSTREAM seleccionó a Phelix como candidato de enfoque de la Fase 2 tanto para el Perfil 1 como para el Perfil 2. Los autores de Phelix clasifican el cifrado como un diseño experimental en sus especificaciones. Los autores recomiendan que Phelix no se utilice hasta que haya recibido un criptoanálisis adicional. Phelix no avanzó ^[2] a la Fase 3, en gran medida debido al ataque de recuperación de clave de Wu y Preneel ^[3] que se menciona a continuación y que se vuelve posible cuando se viola la prohibición de reutilizar un nonce.

El primer artículo criptoanalítico sobre Phelix fue un ataque de distinción de clave elegida , publicado en octubre de 2006. ^[4] Doug Whiting revisó el ataque y señala que, si bien el artículo es inteligente, lamentablemente se basa en suposiciones incorrectas sobre la inicialización del cifrado Phelix. Este artículo fue posteriormente retirado por sus autores.

El 26 de noviembre de 2006, Hongjun Wu y Bart Preneel publicaron un segundo artículo criptoanalítico sobre Phelix titulado "Ataques diferenciales contra Phelix" . El artículo se basa en el mismo supuesto de ataques que el ataque diferencial contra Helix. El artículo muestra que si el cifrado se utiliza incorrectamente (se reutilizan los nonces), la clave de Phelix se puede recuperar con aproximadamente 2,37 ^operaciones , 2,34 ^nonces seleccionados y ^2,38,2 palabras de texto sin formato seleccionadas. La complejidad computacional del ataque es mucho menor que la del ataque contra Helix.

Los autores del ataque diferencial manifiestan su preocupación por el hecho de que cada palabra de texto simple afecta al flujo de claves sin pasar por (lo que ellos consideran) suficientes capas de confusión y difusión. Afirman que se trata de una debilidad intrínseca en la estructura de Helix y Phelix. Los autores concluyen que consideran que Phelix es inseguro.

• D. Whiting, B. Schneier, S. Lucks y F. Muller, Phelix: Cifrado y autenticación rápidos en una única primitiva criptográfica (incluye código fuente)
• T. Good, W. Chelton, M. Benaissa: Revisión de los candidatos a cifrado de flujo desde una perspectiva de hardware de recursos reducidos (PDF)
• Yaser Esmaeili Salehani, Hadi Ahmadi: Un ataque clave y diferenciador contra Phelix, enviado a eSTREAM [retirado el 14 de octubre de 2006]
• Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks y Tadayoshi Kohno, Helix: cifrado rápido y autenticación en una única primitiva criptográfica, Fast Software Encryption - FSE 2003, págs. 330-346.
• Frédéric Muller, Ataques diferenciales contra el cifrado de flujo Helix, FSE 2004, págs. 94-108.
• Souradyuti Paul y Bart Preneel , Resolución de sistemas de ecuaciones diferenciales de adición, ACISP 2005. Versión completa
• Souradyuti Paul y Bart Preneel , Algoritmos casi óptimos para resolver ecuaciones diferenciales de suma con consultas por lotes, Indocrypt 2005. Versión completa

• Página de eStream en Phelix
• "Ataques diferenciales contra Phelix" de Hongjun Wu y Bart Preneel
• "Ataques diferenciales contra el cifrado de flujo helicoidal" de Frédéric Muller