Quelle est la particularité de

Dans l' algorithme de cryptage minuscule :

Différents multiples d'une constante magique sont utilisés pour empêcher de simples attaques basées sur la symétrie des rounds. La constante magique, 2654435769 ou 9E3779B9 ₁₆ est choisie pour être $2^{32}/ \phi$ , où ϕ est le nombre d'or.

Quelles propriétés possède $2^{32}/ \phi$ qui le rendent utile dans ce contexte?

cr.crypto-security MS Dousti
la source

Peut-être pertinent: en.wikipedia.org/wiki/Nothing_up_my_sleeve_number

Charles

Réponses:

AFAIK, ces valeurs "magiques" ont les deux propriétés suivantes:

Ils sont en quelque sorte uniques et semblent aléatoires.
Ils peuvent participer aux opérations algébriques à plusieurs reprises; c'est-à-dire que même après avoir appliqué plusieurs fois une opération spécifique (par exemple multiplication ou exponentiation), la valeur "magique" est toujours capable de générer de nouvelles valeurs.

Vous pouvez trouver un cas similaire dans le MD5 . Considérez la ligne suivante:

k[i] := floor(abs(sin(i + 1)) × (2 pow 32))

Ici, sin(i + 1)est destiné à générer des valeurs magiques; qui sont uniques, d'aspect aléatoire, et peuvent fonctionner pour beaucoup de i. (En fait, ivarie de 0 à 63).

Edit: En lisant l' article original sur TEA , on comprend que la réponse donnée par "Steven Stadnicki" est correcte. Notez que la constante magique est le nom delta:

Un multiple différent de delta est utilisé à chaque tour afin qu'aucun bit du multiple ne change fréquemment. Nous pensons que l'algorithme n'est pas très sensible à la valeur de delta et nous devons simplement éviter une mauvaise valeur. On notera que le delta s'avère étrange avec la troncature ou l'arrondi le plus proche, donc aucune précaution supplémentaire n'est nécessaire pour garantir que tous les chiffres de la somme changent.

Étant donné que seulement 32 multiples de delta sont utilisés (un par tour), il n'est pas étrange que l'algorithme ne soit pas très sensible à un delta spécifique. (Voir la réponse de Steven Stadnicki pour plus d'informations.)

Edit 2: Incidemment, MD4 utilise des racines carrées de 2 (0x5a827999) et 3 (0x6ed9eba1) comme constantes "magiques" dans ses opérations. La section 5.4.4 du livre Network Security: Private Communication in a Public World l' explique bien:

Pour montrer que les concepteurs n'ont pas délibérément choisi une valeur diabolique de la constante, la constante est basée sur la racine carrée de 2.

Cette explication est la même que la remarque faite ci-dessous dans un commentaire de Gilles.

MS Dousti
la source

Semble raisonnable. Est-ce que 2 ^ 32 / pi ou 2 ^ 32 / sqrt (2) auraient tout aussi bien fonctionné?

@Tim: Je suppose que oui, mais il est essentiel de revérifier les nouveaux nombres magiques dans le contexte des opérations internes de TEA.

MS Dousti

De plus, une raison de choisir une constante mathématique comme 2 ^ 32 / phi, plutôt qu'une valeur générée aléatoirement avec des propriétés acceptables, est de donner une petite certitude que ce n'est pas une valeur choisie pour des propriétés non révélées supplémentaires - une valeur de porte dérobée .

Gilles 'SO- arrête d'être méchant'

@Gilles, en effet, ils sont même appelés "rien dans ma manche" pour cette raison, voir en.wikipedia.org/wiki/Nothing_up_my_sleeve_number

Henno Brandsma

$\varphi$ $n\varphi$ $\varphi$ $\{n\varphi\}$ $\{n\alpha\}$ $\alpha$

$C_\pi = \lfloor {2^{32}/\pi}\rfloor = 1367130551$ $(355C_\pi)\mod {2^{32}} = 41157$ $C_\varphi = \lfloor {2^{32}/\varphi}\rfloor = 2654435769$ $n$ $|(nC_\varphi)\mod {2^{32}}| \leq 2^{16}$ $n=28657$ $X_n$ $X_{n+k}$ d'un générateur de nombres aléatoires congruentiel linéaire pour certains petite taille ; pour la plupart, cependant, c'est de la magie noire folklorique, basée plus sur l'intuition que «de petits multiples de ce nombre étant petit mod sera mauvais» que sur des résultats théoriques spécifiques. $k$ $2^{32}$

Steven Stadnicki
la source

Sadeq: «mod 1» fait référence à la partie fractionnaire des multiples - dans ce cas, ceux-ci seraient [.62, .24, .85, .47, .09, .71, .33, .94, .56,. 18]. L'équidistribution dans la limite signifie que tout sous-intervalle [a, b] de [0, 1] contient la proportion attendue (ba) de ces valeurs; alors qu'il s'avère que les parties fractionnaires des multiples de tout nombre irrationnel sont uniformément réparties sur [0, 1], celles du nombre d'or approchent cette répartition uniforme plus rapidement que tout autre nombre; ils ne «s'agglutinent» pas sur l'intervalle unitaire.

Steven Stadnicki

π

$\pi$ exemple, l'approximation étroite de par 355/113 signifie que sera beaucoup plus proche d'un entier qu'il ne devrait l'être et cela se présente comme un regroupement des parties fractionnaires de ses valeurs; sera exceptionnellement proche de . Le nombre d'or n'a cependant pas de si bonnes approximations; toutes ses approximations en sont «au maximum». ( en.wikipedia.org/wiki/… couvre cela)

113 π

$113\pi$

{(n + 113) π}

$\{(n+113)\pi\}$

{n π}

$\{n\pi\}$

Steven Stadnicki

c'est une propriété très soignée du nombre d'or

Suresh Venkat

Merci pour la bonne description. C'était vraiment génial! Avez-vous des commentaires k[i], tels que définis dans MD5? (Voir ma réponse ci-dessus.)

MS Dousti

Malheureusement, je ne le fais pas; - la seule chose qui me vient à l'esprit est qu'elles peuvent être choisies pour une indépendance linéaire approximative, car les fonctions sont linéairement indépendantes sur - mais je ne connais aucune raison de croire que cet ensemble particulier de valeurs devrait conduire à des valeurs relativement grandes pour dans toute relation linéaire .

\sin (n x)

$\sin(nx)$

x

$x$

a_{i}

$a_i$

Σ a_{i} k [i] = 0

$\Sigma a_i k[i] = 0$

Steven Stadnicki,