Trivium (шифр)

Trivium генерує послідовність Z, так званий ключовий потік, довгою аж до ${\displaystyle }$ біт. Для шифрування повідомлення необхідно провести операцію XOR від повідомлення і ключового потоку. Розшифровка проводиться аналогічним чином виконується операція XOR від шифротексту і ключового потоку.

Алгоритм ініціалізується завантаженням 80 бітного ключа і 80 бітного ініціалізуючого вектора в 288 бітний початковий стан. Ініціалізація може бути описана наступним псевдокодом.

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (K_{1},...,K_{80},0,...,0)}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (IV_{1},...,IV_{80},0,...,0)}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (0,...0,1,1,1)}$

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ 4\cdot 288\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

Процедура ініціалізації гарантує те, що кожен біт початкового стану залежить від кожного біта ключа і кожного біта не ініціалізуючого вектора. Даний ефект досягається вже після 2х повних проходів (2 * 288 виконань циклу). Ще 2 проходи призначені для ускладнення бітових взаємозв'язків. Для прикладу перші 128 байт ключового потоку Z, отриманого від нульового ключа і ініціалізуючого вектора, мають приблизно однакову кількість рівномірно розподілених 1 і 0. Навіть при найпростіших і однакових ключах алгоритм Trivium видає послідовність чисел, близьку до випадкової.

0000000 e0 fb 26 bf 59 58 1b 05 7a 51 4e 2e 9f 23 7f c9
0000010 32 56 16 03 07 19 2d cf a8 e7 0f 79 b2 a1 cd e9
0000020 52 f7 03 92 68 02 38 b7 4c 2b 75 1a a2 9a 9a 59
0000030 55 28 98 49 74 6e 59 80 80 03 4c 1a a5 b5 f2 d4
0000040 34 69 bb 86 ca 52 15 b3 ae 80 12 69 73 55 9a 31
0000050 b2 6c 0e f5 16 40 20 d6 30 7f 4e 3f 48 16 dc 24
0000060 25 5c ad c4 10 a1 c9 1b bb e8 01 4e dc fc 2e 27
0000070 9e fa ae 02 a2 48 05 b2 2e fb f4 4f 27 76 56 27
0000080 3e 5e b7 06 4e e6 4a 57 7b ad a2 3a 1c 52 ff 48
0000090 f3 92 f8 87 ff 98 aa 87 e6 bf f6 19 38 3c ff 19
00000a0 3f 0a a5 fd 01 ec d0 d8 fa f0 fa 87 09 a1 4e ee
00000b0 63 29 9f 9b 31 ef 95 a5 c7 76 19 8d c7 e0 df 55
00000c0 1b 0f 50 e9 b8 91 85 ea 06 7b d5 2a ad 2b 77 f4
00000d0 ac 84 9b 6d 3f 2e a9 85 99 d7 04 95 02 33 fd f0
00000e0 b7 f8 5b 6e b7 c8 f0 b4 46 aa 20 cd a0 dd dd 4f

Генератор потоку використовує 15 біт з 288битного початкового стану для зміни 3х біт стану та обчислення 1 біта ключового потоку ${\displaystyle }$. В результаті роботи алгоритму може бути отримано до ${\displaystyle }$ біт ключового потоку. Алгоритм може бути описаний наступним псевдокодом.

${\displaystyle {\mbox{for}}\ i=1\ {\mbox{to}}\ N\ {\mbox{do}}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{93}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{177}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{288}}$

${\displaystyle z_{i}\leftarrow t_{1}+t_{2}+t_{3}}$

${\displaystyle t_{1}\leftarrow s_{66}+s_{91}\cdot s_{92}+s_{93}+s_{171}}$

${\displaystyle t_{2}\leftarrow s_{162}+s_{175}\cdot s_{176}+s_{177}+s_{264}}$

${\displaystyle t_{3}\leftarrow s_{243}+s_{286}\cdot s_{287}+s_{288}+s_{69}}$

${\displaystyle (s_{1},s_{2},...,s_{93})\leftarrow (t_{3},s_{1},...,s_{92})}$

${\displaystyle (s_{94},s_{95},...,s_{177})\leftarrow (t_{1},s_{94},...,s_{176})}$

${\displaystyle (s_{178},s_{179},...,s_{288})\leftarrow (t_{2},s_{178},...,s_{287})}$

${\displaystyle {\mbox{end for}}}$

В даному псевдокоді всі обчислення проводяться за модулем 2. Тобто операції додавання і множення є операціями XOR і AND.

Період ключового потоку складно визначити, за нелінійного характеру змін початкового стану. Навіть якщо відкрити всі тригери AND, що призведе до повністю лінійною схемою, можна показати, що будь-яка пара ключа і ініціалізуючого вектора приведе до генерації ключового потоку з періодом порядку ${\displaystyle }$ (що вже перевершує необхідну довжину ключового потоку ${\displaystyle }$).

Якщо ж припустити, що Trivium починає генерувати випадковий ключовий потік, після невеликої кількості ітерацій, то всі згенеровані послідовності, довжиною до ${\displaystyle }$ будуть рівноймовірні. А також ймовірність того, що пара ключ/ініціалізувалися вектор згенерують ключовий потік з періодом менше, ніж ${\displaystyle }$ буде порядку ${\displaystyle }$[2].

Шифр Univium складається з одного регістру зсуву, для кодування необхідний тільки ключ довжиною, що не перевищує довжину регістра.[3]

Разом з Trivium його автори запропонували шифр Bivium, в якому реалізовані тільки 2 зсувних регістра сумарної довжини 177 біт. Процес ініціалізації аналогічний Trivium. Кожен такт змінюються 2 біти стану і формується новий біт ключового потоку. По генерації ключового потоку Z розрізняють 2 версії: Bivium-A і Bivium-B(Bivium). У Bivium-A реалізована пряма залежність нового члена Z від зміненого стану біта ${\displaystyle }$від відміну від неї в Bivium-B (Bivium) ${\displaystyle }$.[4]

Toy-версії були отримані шляхом зменшення довжин регістрів, що дозволило знизити обчислювальну складність алгоритму, при цьому зберігаючи всі математичні властивості. Довжина кожного регістру скорочувалася в 3 рази, причому Bivium-toy також складалася лише з двох регістрів.

Кожна модифікація шифру Trivium створена для спрощення його математичного опису, що має більше навчальну мету, ніж мету застосувати їх у засобах захисту інформації.[5]

Практично всі досягнення в області злому Trivium являють собою спроби застосувати атаки, вдало проведені на усічених версіях алгоритму. Найчастіше, в якості досліджуваного використовується версія алгоритму Bivium, в якому використовується лише 2 зсувних регістра сумарної довжини 192 біта.