Phelix

Phelix – высокоскоростной поточный шифр, использующий одноразовый код аутентичности сообщения. Шифр был представлен на конкурсе eSTREAM в 2004 году. Авторами являются Брюс Шнайер, Дуг Уитинг, Стефан Люкс и Фредерик Мюллер. Агоритм содержит операции сложения по модулю 2³², сложения по модулю 2 и циклический сдвиг; Phelix использует 256-битный ключ и 128-битную метку времени метку времени (англ.). Некоторыми криптографами были выражены опасения насчет возможности получения секретного ключа при некорректном использовании шифра.

Производительность

Phelix оптимизирован для 32-битных платформ. Авторы утверждают, что он может достигнуть до восьми циклов на байт на современных 86-разрядных процессорах.

Ниже приведены показатели производительности FPGA оборудования:

Xilinx Чип	Фрагменты	FPGA Мбит/с	GE оценка	Описание реализации
XC2S100-5	1198	960.0	20404	(A) Полный раунд 160-битная модель
XC2S100-5	1077	750.0	18080	(B) Полу-раунд 160-битная модель
XC2S30-5	264	3.2	12314	(C) 32-разрядный канал передачи данных

Helix

Phelix представляет собой слегка измененную форму раннего шифра, Helix, опубликованный в 2003 году Нильсом Фергюсоном, Даг Уайтингом, Брюсом Шнайером, Джоном Келси, Стефаном Лаксом и Тадайоши Коно; Phelix добавляет 128 бит для внутреннего состояния.

В 2004 году Мюллер опубликовал две атаки на Helix. Первое имеет сложность 2⁸⁸ и требует 2¹² адаптивно подобранного открытого текста слов, но требует случайные числа для повторного использования. Соурадиути Пол и Барт Пренил позднее показали, что число адаптивно подобранного открытого текста слов атаки Мюллера может быть уменьшено в 3 раза в худшем случае, используя их оптимальные алгоритмы для решения дифференцальных уравнений сложения. В последующей разработке, Соурадиути Пол и Барт Пренил показали, что атака выше может быть реализована с выбранных открытых текстов (CP), а не адаптивно подобранных (ACP) со сложностью данных 2^35.64 CP's. Вторая атака Мюллера на Helix является отличительной атакой, которая требует 2¹¹⁴ слов выбранного открытого текста.

Разработка Phelix в значительной мере мотивирована дифференциальной атакой Мюллера.

Безопасность

Авторы сообщают, что Phelix не должен использоваться, пока он не получил дополнительного криптоанализа.

Хунцзюнь Ву и Барт Пренил, авторы дифференциальной атаки, выражают беспокойчтво тем, что каждое слово открытого текста влияет на ключевой поток, минуя достаточные конфузионные и диффузионные слоя. Они утверждают, что это свойственный недостаток в структуре Helix и Phelix. Авторы приходят к выводу, что Phelix небезопасен.

Ссылки

• D. Whiting, B. Schneier, S. Lucks, and F. Muller, Phelix: Fast Encryption and Authentication in a Single Cryptographic Primitive (includes source code)
• T. Good, W. Chelton, M. Benaissa: Review of stream cipher candidates from a low resource hardware perspective (PDF)
• Yaser Esmaeili Salehani, Hadi Ahmadi: A Chosen-key Distinguishing Attack on Phelix, submitted to eSTREAM [withdrawn 2006-10-14]
• Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks and Tadayoshi Kohno, Helix: Fast Encryption and Authentication in a Single Cryptographic Primitive, Fast Software Encryption - FSE 2003, pp330–346 (PDF).
• Frédéric Muller, Differential Attacks against the Helix Stream Cipher, FSE 2004, pp94–108.
• Souradyuti Paul and Bart Preneel, Solving Systems of Differential Equations of Addition, ACISP 2005. Full version (PDF)
• Souradyuti Paul and Bart Preneel, Near Optimal Algorithms for Solving Differential Equations of Addition With Batch Queries, Indocrypt 2005. Full version (PDF)
• eStream page on Phelix
• "Differential Attacks against Phelix" by Hongjun Wu and Bart Preneel