Ascon加解密算法分析

news2024/9/23 5:22:41

参数定义

在这里插入图片描述

加密架构图

在这里插入图片描述

整个过程是在处理320bits的数据，所以在最开始需要对原始的数据进行一个初始化，获得320bits的数据块，
图里看到的pa和pb都是在做置换（对320bits的数据进行一个置换）
置换（Permutation）在加密和解密算法中是一种常用的操作，它指的是对序列中的元素重新排列，使得原来的元素顺序发生变化。在加解密中，置换操作通常用于将明文或密文中的字符或比特重新排列，使得原始信息变得难以阅读或理解。
置换操作在加密和解密中通常具有以下特点：
- 置换操作是不可逆的，即对序列进行置换后，无法通过置换操作还原原始序列。
- 置换操作可能会影响信息的长度和复杂性，使得原始信息变得难以阅读或理解。
- 置换操作可能会增加加密和解密算法的复杂性，使得攻击者更难以破解加密算法。
在加解密中，置换操作通常由一个置换矩阵表示。例如，在密码学中，有一个著名的置换加密算法叫做培根密码（Bacon’s Cipher），它使用一个特殊的置换矩阵来加密和解密信息。在这个算法中，置换矩阵如下所示：
```
A = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9]
B = [0, 5, 6, 7, 8, 9, 1, 2, 3, 4]
```
对于一些运算符号如下约定
加解密伪代码实现

前置知识

Ascon算法，整个加密解密过程实际上是在处理320bits的数据，通过a轮置换和b轮置换进行320bits的内容（简称S），S被分为两个部分，一个是外在部分Sr (r bits)，内在部分Sc(c bits)，其中r+c =320bits,在文档中r 代表rate,c代表capacity，应该是和算法的速度性能相关。
320bits长度的S被分为5个64bits

流程详解

初始化
320bits的数据是如何生成的？
- 第一步：构建IV初始向量
  IV=k||r||a||b||补0，此处的k是密钥的长度，r是rate段的长度，初始轮和最终轮数a和b的大小，以及中间轮数b大小（都是8bit 的int型数据），最后补0，个数为160-k
- 第二步：得到S，这个时候S就是320bits长
  S = IV ||密钥K||随机数N
- 第三步：处理S
  经过a轮的p置换后，和密钥K进行异或（此时密钥k不足320bits,需要补0凑320bits）
- 初始化结束,注明：初始化阶段，没有处理AD和plaintext，是把Key,Nonce，以及一些长度、轮数的数值用来生成初始的S块（320bits)
处理相关数据
- 如果存在关联数据AD（前面说过，AD的数据长度是没有要求的，如果AD数据长度很大，就需要进行切割处理）
- Ascon处理关联数据，是把它分为r bits一块（block)，一共有s块
  如果AD的位数不足r bits或者不是r bits的倍数，需要填充1||0…0
  
  之后，执行s次：从A1到As
  将每一块Ai，都和S里的前r位数据进行异或，异或之后和Sc拼接成320bits数据，进行b轮permutation
- 此处的permutation执行了b*s次
  
  如果不存在 s=0 ，暂不处理
- 最后统一处理：
  S和 0…01进行异或（319个0）
处理明文过程—两个过程，填充分块和加密
- 因为plaintext的长度是任意的，所以可能位数不满足r bits，或者不是r bits的倍数，所以需要填充1||0…0
- 然后将plaintext分为t个block,每个block占r bits（注意：这个地方如果为了满足r bits的倍数进行填充，之后的密文位数就和明文不一致了，所以关于最后一个明文块会进行一个特殊的处理）
- 从第一个block开始处理一直到第t个（这个地方和处理关联数据的方式很相似）
  比如：第i个Block的处理：
- 首先获取Blocki 对应的密文，将Blocki与此时的Sr（也就是此时320bits大数据块的前r位）进行异或，获得密文块Ci
- 再进行置换运算P(Ci||Sc)，进行b轮，得到一个新的S
  进行下一个Block的处理…
- 最后一个Block不进行置换处理，直接获取密文Ct后，将最后一个密文块 Ct 截断为未填充的最后一个明文块片段的长度，使其长度在 0 和 r - 1 位之间，密文 C 的总长度与原始明文 P 的总长度完全相同。
解码对应过程
- 在除最后一次迭代之外的每次迭代中，明文块Pi都是通过用内部状态的第一个r位Sr来表示密文块Ci来计算的。然后，将内部状态的第一个位位Sr替换为Ci。最后，对于除最后一个密文块外的每个密文块，内部状态由b轮排列pb进行置换
- 对于最后一个具有0≤`<r位的截断密文块˜Ct，过程不同
结尾处理
- 最后的收尾工作，会生成一个128bits的tag，用于解密时做验证
- 解密模式下，如果计算的tag错误，则不会返回明文，仅返回错误标记⊥
- 在最终确定的过程中，密钥K被转换到内部状态，并通过使用一轮的排列pa进行状态转换。标记T由状态的最后一个（最不重要的）128位和键K的最后128位组成
- 加密算法返回标签T和密文C1k…k˜Ct。解密算法只有当计算出的标记值与接收到的标记值匹配时，才返回明文P1 k … k˜Pt。
置换处理
- Ascon的重要组成部分就是这个320bits的置换，该置换迭代的应用了基于SPN结构的轮变换（round transformation)，置换可以分为3步，Pc->Ps->PL，其实这个过程把混淆和扩散都做了。（不是像AES里简单的p盒置换）
- 之前算法结构图里提到的Pa和Pb，其实只是轮数的不同，一个是a轮，一个是b轮，实际permutation结构上是一样的，并且a,b是一个可以调整的参数。
  置换步骤
  1）先把320bits划分为5个
  
  2）X2异或一个常数Cr—Cr取值如下
  
  3）按5bit位单位做替换
  
  4）分别对x0/x1/x2/x3/x4进行移位、异或
扩散和混淆
Diffusion 扩散
P盒的作用是扩散(Diffusion),目的是让明文和密钥的影响迅速扩散到整个密文中。即1位的明文或密钥的改变会影响到密文的多个比特。
Confusion 混淆
我们常说的S盒的作用是混淆(Confusion),主要增加密钥和密文之间的复杂度（包括非线性度等）。
混淆能够很好的隐藏密文和密钥的关系，一比特密钥的改变，密文会受到很大程度变动