LOKY

El término indica cifrado LOKI en una familia de algoritmos criptográficos desarrollados en los
años noventa como posibles sustitutos del estándar de cifrado de datos (DES). Los algoritmos
desarrollados se basan en el análisis realizado en la misma DES, que siguen la estructura de la base.
El nombre deriva de LOKI Loki, el dios de los grandes ingenios de la mitología nórdica.

El LOKI89

El LOKI89 (rebautizada posteriormente como LOKI) fue el primer algoritmo de la serie que se
publicará en 1990 por los criptógrafos de Australia Lawrie Brown, Pieprzyk Josef y Seberry
Jennifer. El LOKI89 se presentó como un candidato para el RIPE, pero no fue seleccionado.

El algoritmo de cifrado utiliza un bloque de datos a lo largo de 64 bits y 64 bits clave de cifrado
mucho tiempo. Se basa en una red de Feistel de 16 rondas y tiene una estructura muy similar a la
DES de la que, a diferencia de la función particular de sustitución (S-box), la función de
permutación (P-BOX) y la función de "permutación de expansión."

La caja-S utilizando un criterio lineal desarrollado por Josef Pieprzyk, que los hace más complejos e
imprevisibles que los de DES. El P-caja han sido diseñadas para permitir la mezcla rápida de las
salidas de la caja-S, a fin de promover el efecto bola de nieve llamada, un requisito fundamental de
cualquier buena red de Feistel, mientras que al mismo tiempo, en comparación con el P-caja de
DES, una estructura clara y sencilla.
Después de su publicación, el LOKI89 fue crittanalizzato son vulnerables a los ataques llevados a
cabo con el criptoanálisis diferencial. Debido a esto, los autores han publicado una versión
modificada que ha sido nombrado LOKI91.

LOKI89 Diseño

* El diseño general se basa en los principios de diseño desarrollado a partir de un análisis

detallado de la DES, incluyendo:

permutación P y su papel en el crecimiento de la dependencia de los bits de cifrado en bits de

entrada PC2

permutación y programar la rotación de clave y su papel en el crecimiento de la dependencia de los

bits de cifrado en bits de la clave

* El diseño de la LOKI S-Cajas se basa en los criterios de no-linealidad desarrollado por Seberry
y Pieprzyk, verificado en contra de los criterios de diseño conocido por S-cajas

* objetivo era que la estructura sea lo más sencilla posible, sin comprometer la seguridad

* LOKI es un cifrado de Feistel de clase, una forma de sustitución-permutación (SP) de la red

(Shannon)
* Propiedades clave de esas redes S-P son:

o la propiedad avalancha

o la propiedad completa

* prestación de estos se han logrado por un diseño de dos fases

o Estructura general asumiendo S-cajas tienen estas propiedades

o S-cajas con estas propiedades

LOKI función de expansión E

* Duplicados bits de la clave de entrada + para proporcionar tratamiento en autoclave

* Se basa en una selección regular de bits

* Está diseñado para utilizar las entradas de 32 bits para facilitar la implementación de software

LOKI P Permutación

* Envía los bits de salida de cada caja-S a las entradas de S-cajas a su vez

* Puede ser generado por una función de la diferencia en el número S-caja de [3 2 1 0 3 2 1 0]

LOKI clave Lista

* Utiliza una gran rotación clave eliminando la necesidad para el CP2

* Con un valor de rotación de 12 para que coincida con el tamaño de la caja-S

* Con 8 vueltas de cada medio, la clave final es la clave inicial

* 16 rondas fueron elegidos en base a los resultados Biham-Shamir lo que sugiere que sería
menos inseguridad

En general LOKI89 Estructura

LOKI Funcion f

LOKI claves
 * Teclas LOKI son bloques de 64 bits, sin bits de paridad, lo que puede ser escrito en
hexadecimal como hhhhhhhhhhhhhhhh16

* Débil, semi-débil, y las teclas de Demi-semi-débiles son los que generan 1, 2 o 4 sub-llaves de
la residencia única y que deben evitarse

o por LOKI todas estas claves tienen la forma: hihihihijkjkjkjk16 un total de 216 sobre un
total de 264 LOKI S-Box de diseño

* Una familia adecuada de las cajas-S con propiedades avalancha y la integridad se requiere

* principio fundamental era el concepto de funciones booleanas con el máximo de la no

linealidad, por Pieprzyk y Seberry

* No-linealidad de una función f en el conjunto de Fn todas las funciones booleanas de n

variables, es la distancia mínima de Hamming entre f y el conjunto de todas las funciones de Boole
lineal Ln existentes en Fn

* Además se determinó que la exponenciación en un campo de Galois se puede utilizar para

formar funciones booleanas con el máximo de la no linealidad

LOKI89 S-Cajas

LOKI S-cajas fueron elegidos para tener 12 entradas y 8 salidas

o para maximizar el crecimiento de las dependencias poco

o como el mayor valor que puede almacenarse en las tablas pre-computada

• Este se divide en 16 funciones fila con 256 columnas

• Cada función es exponencial en GF (28) de la siguiente manera

Sfnr = (c + r) genr mod er

• Este campo cuenta con 30 polinomios irreducibles, y 24 exponentes (de 13 pares inversa)
que forman las funciones de máxima no linealidad (de 112)
• Una serie de exponentes que existen otras funciones de forma de un poco menos que el
máximo no-linealidad, que también pueden ser adecuados para su uso
• exponente 31 fue elegido como el más pequeño que da máxima no linealidad
• 16 polinomios irreducibles fueron elegidos entre los 30 disponibles sobre la base de las
pruebas en contra de los principios S4 a S7, los resultados muestran poca variación
significativa entre las alternativas
• La resultante de S-funciones que no linealidades en todas las entradas y salidas de cabo
entre 1896 y 1936 de un máximo de 1984.
• Que se combinan en la siguiente estructura para formar la S_box LOKI:

LOKI89 Criptoanálisis
• LOKI89 con un máximo de 10 rondas pueden ser atacados por criptoanálisis diferencial con:
 A. (00000510,0) -> (0,00000510) siempre

B. (0,00000510) -> (00000510,0) Relaciones Públicas (118 / 2 ^ 20) que se encuentran de forma
independiente por Biham, Knudsen
• LOKI89 con un máximo de 14 rondas también puede ser atacado con una característica de la
Ronda 3:

A. (00400000,0) -> (0,00400000) siempre

B. (0,00400000) -> (00400000,00400000) Relaciones Públicas (28/4096)

C. (00400000,00400000) -> (00400000,0) Relaciones Públicas (28/4096) que se encuentran de

forma independiente por Kwan, Knudsen
• Espacio LOKI89 clave es 2 ^ 60 por la siguiente relación:

LOKI (P, K) (+) pppppppppppppppp = LOKI (P (+) pppppppppppppppp, K (+)

mmmmmmmnnnnnnnn) donde p = m (+) n, m, n valores arbitrarios hexagona que se
encuentran de forma independiente por Biham, Knudsen, y Kwan.

La Clave LOKI90 Bloque

LOKI91 Diseño

* utilizar las directrices adicionales siguientes:

* Horario clave analizar para minimizar la generación de la clave equivalente, o en relación de
pares (texto clave)
* minimizar la probabilidad de que f (x ') -> 0, exigiendo XOR diferencias dar salida cero que se
debe a esos pedacitos permutada (por correo) a más de una entrada de S-box
* asegurar la cifra ha rondas suficiente para la búsqueda exhaustiva del ataque óptimo (es decir,
tener pares insuficiente para el criptoanálisis diferencial)
* asegurar que no puede hacer todas las cajas-S dan cero resultados, aumentar la seguridad
cuando los modos de hashing.

LOKI91 Especificación

* los cambios que se hicieron las siguientes LOKI89

1
cambiar el horario clave para las dos mitades fueron intercambiados después de cada segunda
ronda
2
cambiar el calendario de rotación de clave para alternar entre ROT12 (rondas impares) y ROT13
(incluso rondas)
3
quitar el XORs inicial y final de las principales con texto plano y texto cifrado respectivamente
4
alterar la función S-box a:

NFS (r, c) = (c + ((r * 17) (+) FF16) y FF16) 31 mod genr

polinomios generador genr como en LOKI89
En general LOKI91 Estructura
Criptoanálisis LOKI91

* Eliminación de XORs inicial y final es necesario debido a otros cambios - la dependencia

aumenta texto cifrado en clave de 3 a 5 rondas, siendo buena en comparación con DES (5 / 7
rondas)
* cambios de horario clave:
* reducir en gran medida el número de débiles (*) y teclas semi-débiles:

iuyioiuygtgyhuijkojmnhbgvfdscvbnmnbvcxvbnm,.2222@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@

* también dejar sólo la propiedad única de complementación poco:

_________ _ _
LOKI (P, K) = LOKI (P, K)

* la función S-box rediseño:

* garantiza cero de entrada da a cero de salida
* mejora la inmunidad a LOKI91 criptoanálisis diferencial, puede ser atacado en un máximo de
o 10 rondas con una característica 2 ronda
o f (x ') -> 0'with Relaciones Públicas (122 / 1048576)
o 12 rondas con un carácter 3 ronda
o f (x ') -> x'with Relaciones Públicas (16/4096) (dos veces)
* pares insuficientes para atacar 16 ronda LOKI91
o requieren 280 pares de redondo de 3 caracteres
o requieren 292 pares por 2 ronda char
o, pero sólo tiene 263 pares de texto es posible

Últimos Análisis de LOKI91

* Knudsen presentó una ponencia en Auscrypt'92

o confirmado que no hay características con una probabilidad bastante alta para atacar
LOKI91 de búsqueda más rápido que el espacio de claves
o mostró el tamaño de la imagen de Loki función f es F (8,13) x 2 ^ (32) importancia de esto
es discutible
o ataque de texto elegido presenta la reducción de espacio de claves de búsqueda exhaustiva
en un 4 por medio de 2 ^ (32) + 2 planos escogidos
* Biham ha presentado sus ataques clave relacionados
o sólo es aplicable si la fuerza atacante puede reintroducir por el patrón
* parecen confirmar la seguridad de LOKI91 en la actualidad
* ahora es susceptible a la búsqueda exhaustiva espacio de claves, aunque más difícil que para
DES (60 a 64 frente a 56 bits para DES)

El LOKI91
El LOKI91 fue diseñado en respuesta a los ataques llevó a LOKI89 (Brown, 1991). Los cambios
incluyen la eliminación de la ocultación de la llave (clave blanqueamiento) de inicio y fin, un nuevo
S-cajas y otros pequeños cambios en el creador de la clave.

Más concretamente, la función de sustitución se ha modificado para reducir al mínimo la

probabilidad de entrada de datos diferentes que devuelven el mismo resultado que la producción,
una debilidad que es utilizado por el criptoanálisis diferencial, por lo que es inmune a este tipo de
ataques. Modificaciones a la clave de controlador (planificador clave) en vez reducido el número de
teclas equivalentes o afines, que por lo tanto reduce el espacio de claves, es decir, el número de
combinaciones posibles.

Incluso si la cifra es probablemente más sólido y LOKI89 seguro, todavía hay una serie de ataques
potenciales que pueden romper el cifrado, tal como se describe en los estudios de Knudsen y
Biham. Como resultado de estas cifras deben entenderse sólo como un intento de mejorar la
estructura de los sistemas de cifrado de bloques y algoritmos no es realmente útil.

LOKI97

En la criptografía LOKI97 es un cifrado de bloques desarrollado en 1998 por Lawrie Brown y

presentó como candidato en el proceso de normalización de la AESA. Es parte de la familia de
sistemas de cifrado llamado "Loki" los demás miembros son los LOKI89 LOKI91 y, por tanto,

Al igual que otros candidatos para el AES, el LOKI97 opera en bloques de 128 bits con claves de
128 bits de largo, 192 o 256.

Estructura

Al igual que el DES, el LOKI97 se basa en una equilibrada red de Feistel con 16 pasos. La red
incluye dos niveles de una red de sustitución-permutación. El gerente es también una red de Feistel:
en comparación con esto, no sería equilibrado, incluso si utiliza la misma función F.

La función de la Feistel LOKI97

La función básica de los pasos individuales se muestra a continuación: utiliza dos columnas cada
una con varias copias de dos funciones de reemplazo, o cajas-S: Estas funciones están diseñadas
para ser altamente no lineales. Las permutaciones de la primera y entre las cajas-S utilizados para
entregar el mejor y más rápido que el material de clave y la salida de las funciones de reemplazo.

La seguridad del cifrado

El LOKI97 fue el primer algoritmo presentado como candidato en el proceso de normalización de la

AESA y fue rápidamente crittanalizzato y violado por Lars Knudsen y Vincent Rijmen en 1999
mediante un ataque basado en criptoanálisis lineal. Más tarde se encontró susceptibles a un ataque
con criptoanálisis diferencial.