3 RC6

 

3.1 Introduzione

 

RC6 è un cifrario a blocchi a chiave simmetrica, semplice, compatto e sicuro, con dimensione dei blocchi di 128 bit e lunghezza della chiave variabile, in un range tra 0 e 32 byte.

RC6 è un’evoluzione dell’RC5 ([3], [9]), in particolare l’RC5 è stato modificato in modo da andare incontro alle richieste del NIST riguardo le specifiche tecniche dell'AES. RC5 raggiunge prestazioni ottimali quando la taglia del blocco in input è doppia rispetto alla grandezza della parola macchina. Segue che per blocchi di 128 bit, è necessaria un’architettura a 64 bit, il che non soddisfa la richiesta del NIST.

Un'altra modifica apportata all'RC5 è l'aggiunta, all'insieme delle operazioni primitive, della moltiplicazione di interi; quest'ultima è adoperata per computare le rotazioni, in modo da renderle dipendenti da tutti i bit di un registro, piuttosto che da un porzione di tali bit, incrementandone la sicurezza.

 

3.2 Dettagli dell'algoritmo

 

RC6 appartiene alla famiglia degli algoritmi di cifratura parametrizzati [3]. L'algoritmo cifra parole di w bit, eseguendo r iterazioni (o round), utilizzando una chiave di cifratura lunga b bytes, come illustrato nella Figura 3.1. L'algoritmo considera 3 parametri fondamentali per il suo funzionamento: w, r e b.

 

Per soddisfare le richieste dello standard AES, la versione che i progettisti hanno presentato è RC6-32/20/b con b = 16, 24 o 32 bytes.

RC6-w/r/b opera su unità di 4 parole di w-bit utilizzando le seguenti 6 operazioni di base:

·        a + b:    addizione di interi modulo 2^w;

·        a - b:     sottrazione di interi modulo 2^w;

·        a Å b:   XOR bit a bit di parole di w bit;

·        a •

 b:     moltiplicazione di interi modulo 2^w;

·        a « b:    shift ciclico a sinistra di a di un numero di bit dato dai lg w bit meno significativi di b;

·        a » b:    shift ciclico a destra di a di un numero di bit dato dai lg w bit meno significativi di b.

 

 

3.2.1 Algoritmi di cifratura e decifratura

 

L'algoritmo di cifratura prende in input

 

·        il testo in chiaro, memorizzato nei 4 registri A, B, C, D ognuno di w bit;

·        il numero r di iterazioni da eseguire;

·        la chiave, memorizzata in S[0, .., 2r + 3] (si veda il paragrafo 3.2.2)

 

e restituisce il testo cifrato nei registri A, B, C, D.

L'algoritmo é il seguente:

 

In modo del tutto analogo, l'algoritmo di decifratura prende in input il testo cifrato, memorizzato nei 4 registri, e restituisce il testo in chiaro nei registri A, B, C, D.

L'algoritmo è il seguente:

 

3.2.2 Schedulazione della chiave

 

La schedulazione della chiave dell' RC6-w/r/b é sostanzialmente identica a quella dell'RC5, cambia, soltanto, il numero di parole chiave dedotte da quella fornita dall’utente:  2r + 1 per l’RC5 e 2r + 4 per l’RC6.

L'utente fornisce una chiave di b bytes, con 0 £ b £ 32, che viene caricata in modalità little-endian in un vettore L di c parole (ognuna di w bit), dove ; così il primo byte della chiave è memorizzato come byte di ordine inferiore di L[0], ecc., e L[c-1] è riempito con degli zeri nelle posizioni più significative, se necessario, per completare l’inizializzazione di L. L'algoritmo di schedulazione genera 2r+4 parole di w bit, che memorizza nel vettore S[0, .., 2r + 3]. L'algoritmo é il seguente:

 

 

La procedura di schedulazione, utilizza, due “costanti magiche” P_w e Q_w, che sono così definite per un w arbitrario:

 

P_w = Odd((e - 2)2^w)

Q_w = Odd((F - 1)2^w)

 

dove

·        e è il numero di Nepero: e= 2.71828182459045…

·        F è il rapporto aureo: F = (1+5^1/2)/2=1.61803398874989…

 

e Odd(x) è l’intero dispari più vicino ad x.

 

 

I dati riportati nella Tabella 3.2, non comprendono i valori relativi alla schedulazione della chiave (mostrati nella Tabella 3.3) i quali sono indipendenti dalla lughezza della chiave fornita dall'utente. I dati riferiti all'implementazione ANSI C e JAVA sono stati ottenuti, utilizzando blocchi di 3.000 e di 100.000 caratteri, in modalità ECB.

 

 

3.3.2 Performance di RC6 su piattaforma ad 8 bit

 

L'algoritmo RC6 é adattabile ad architetture con processore ad 8 bit; é infatti possibile definire le operazioni di base di RC6-32/20/b adoperando operazioni implementabili sulla maggior parte dei processori. Verrà mostrato come sia possibile implementare RC6-32/20/b sul processore ad 8 bit Intel MCS 51.

 

·        Cifratura/Decifratura. Analizzando gli algoritmi descritti nel paragrafo precedente, e considerando che l'espressione

 

B  x (2B +1) = 2B²+ B

 

può essere valutata con 1 quadrato e 2 addizioni ad 8 bit. Segue che in ogni round dell'algoritmo di cifratura/decifratura vengono eseguite:

 

6 addizioni,

2 OR esclusivi (XOR),

2 quadrati,

2 rotazioni a sinistra di 5 bit (log w = log 32 = 5)

2 rotazioni a sinistra di una quantità r variabile.

 

         come mostrato nella Figura 3.2.

 

 

Queste operazioni possono essere implementate su un processore ad 8 bit come segue:

 

1.     un'addizione a 32 bit può essere computata mediante 4 addizioni a 8 bit con riporto (ADDC);

2.     un OR esclusivo (XOR) a 32 bit può essere computato con 4 XOR a 8 bit (XRL);

3.     un quadrato a 32 bit può essere computato mediante 6 moltiplicazioni di stringhe di 8 bit (MUL) ed 11 addizioni con riporto (ADDC). In questo caso le 6 moltiplicazioni sono sufficienti dato che si è interessati solo ai 32 bit meno significativi di tale prodotto.

4.     una rotazione ciclica a sinistra di 5 bit su una stringa di 32 bit può essere computata attraverso una rotazione a destra di 1 bit su una stringa di 32 bit, eseguita 3 volte, e permutando i 4 byte risultanti (vedi Figura 3.3). La

rotazione a destra di 1 bit su stringhe a 32 bit può essere implementata mediante 4 rotazioni ad 8 bit (RRC).

 

 

5.     una rotazione ciclica a sinistra di z bit su una stringa di 32 bit può essere computata con una rotazione a sinistra o a destra di 1 bit, eseguita z’ volte (con z’£ 4 ottenuto dai 5 bit meno significativi di z), seguita da una permutazione dei 4 bytes. Ogni permutazione può essere controllata mediante i salti (JB).

 

Motivazione:

Se z è multiplo di 8 è possibile effettuare una rotazione ciclica a sinistra di z bit con la sola permutazione dei 4 bytes (si noti che effettuare una rotazione ciclica  a sinistra di 8 bit corrisponde ad una rotazione ciclica a sinistra dei 4 byte), segue che, non occorrono operazioni di “«”.

Se z non è multiplo di 8, allora z=8k+ z’ con k³0 e 1£ z’£ 7, il valore di z’ è l’equivalente decimale dei 3 bit meno significativi di z. Segue che permutando i 4 byte in modo opportuno, lo stesso risultato si può ottenere effettuando k rotazioni cicliche a sinistra dei 4 byte, si otteniene la sequenza di 4 byte su cui effettuare una rotazione ciclica a sinistra di z’ bit, per concludere l’operazione.

Se z’ >4 è possibile effettuare 8-z’ shift ciclici a destra e poi permutare i 4 byte come in Figura 3.3 per ottenere lo stesso risultato che si otterrebbe con una rotazione ciclica a sinistra di z’  bit. In particolare se z’=5 vengono effettuate le stesse operazioni descritte nel passo 4.

Dato che la permutazione dei 4 byte corrisponde a shift ciclici a sinistra dei 4 byte, allora non è significativo applicare prima la permutazione o gli shift ciclici su bit dei quattro byte.

Si può ora definire lo pseudo algoritmo per effettuare una rotazione ciclica a sinistra di z bit: 

 

·        se  1£ z’£ 4  allora   effettuare l’operazione « z’ sulla sequenza di quattro byte.

·        se  5£ z’£ 7  allora   effettuare l’operazione « 8-z’ sulla sequenza di quattro byte.

·        “permutazione dei byte” in modo opportuno mediante i salti