Design of S-Boxes Using Genetic Algorithms

(1)

VYSOK ´

E U ˇ

CEN´I TECHNICK ´

E V BRN ˇ

E

BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMA ˇ

CN´ICH TECHNOLOGI´I

´

USTAV INTELIGENTN´ICH SYST ´

EM ˚

U

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INTELLIGENT SYSTEMS

HLED ´

AN´I S-BOX ˚

U POMOC´I EVOLU ˇ

CN´ICH ALGORITM ˚

U

DESIGN OF S-BOXES USING GENETIC ALGORITHMS

DIPLOMOV ´

A PR ´

ACE

MASTER’S THESIS

AUTOR PR ´

ACE

Bc. BED ˇ

RICH HOVORKA

AUTHOR

VEDOUC´I PR ´

ACE

Doc. Dr. Ing. PETR HAN ´

A ˇ

CEK

SUPERVISOR

(2)

Zad´

an´ı

1. Prostudujte problematiku S-box˚u v kryptografii. Dále prostudujte evoluˇcn´ı výpoˇcetn´ı techniky jako genetické algoritmy, EDA algoritmy a Kartézské genetické progra-mován´ı.

2. Navrhnˇete program pro evoluˇcn´ı návrh S-box˚u pomoc´ı jednotlivých metod. 3. Navrˇzený program implementujte ve vhodném jazyce a prostˇred´ı.

4. Na zvolených pˇr´ıkladech porovnejte jednotlivé pˇr´ıstupy a zhodnot’te dosaˇzené výsledky.

Kategorie: Bezpeˇcnost Datum zad´an´ı: 21. z´aˇr´ı 2009

(3)

Abstrakt

Pˇredloˇzená práce se zabývá ˇcást´ı ˇsifrovac´ıho algoritmu zvanou substituˇcn´ı box a jeho evoluˇcn´ım návrhem. K jeho vývoji jsou pouˇzity evoluˇcn´ı výpoˇcetn´ı techniky, jako jsou klasický genetický algoritmus, Estimation of Distribution Algorithm, Kartézské genetické programován´ı a multikriteriáln´ı algoritmy VEGA a SPEA. C´ılem práce je prozkouˇset vlast-nosti substituˇcn´ıch box˚u k jejich evoluˇcn´ımu vývoji. Práce se nejprve zabývá kryptografi´ı a problematikou s-box˚u. Zde budou vysvˇetleny základn´ı pojmy a popsána vybraná kritéria jejich bezpeˇcnosti. Dále budou vyloˇzeny pouˇzité evoluˇcn´ı algoritmy a základy multikri-teriáln´ı optimalizace. Tˇechto poznatk˚u je vyuˇzito, k návrhu a implementaci programu, které jsou popsány dále. Nakonec diskutuje pouˇzit´ı studovaných kritéri´ı. Je zde diskutováno pro-hledáván´ı s-box˚u jak pˇri jednokriteriáln´ım, tak pˇredevˇs´ım v multikriteriáln´ım genetickém prohledáván´ı.

Abstract

This work deals with part of the encryption algorithm, called S-box and its development. For its development is used evolutionary computing, such as classical genetic algorithm, Estimation of Distribution Algorithm, Cartesian genetic programming and multi-criteria VEGA and SPEA algorithms. This thesis aims to test the properties of substitution boxes to its evolutionary development. Firstly, the work deals with cryptography and issues of s-boxes. There are explained basic concepts and describes the selected criteria of safety. Next chapter explains evolutionary algorithms and multi-criteria optimization. This knowledge is used to design and program implementation, which are described below. Finally discusses the application of the criteria studied. Discussed here is searching S-boxes in both single-criteria, and especially in multi-criteria genetic search.

Kl´ıˇcov´

a slova

s-box, genetický algoritmus, EDA, UMDA, BMDA, VEGA, SPEA, Kartézské genetické programován´ı, Pareto optimum, lineárn´ı a diferenciáln´ı kryptoanalýza, Python, C++

Keywords

S-box, Genetic algorithm, EDA, UMDA, BMDA, VEGA, SPEA, Cartesian genetic progra-mming, Pareto optimum, linear a differential cryptoanalysis, Python, C++

Citace

Bedˇrich Hovorka: Hledán´ı S-box˚u pomoc´ı evoluˇcn´ıch algoritm˚u, diplomová práce, Brno, FIT VUT v Brnˇe, 2010

(4)

Hled´

an´ı S-box˚

u pomoc´ı evoluˇcn´ıch algoritm˚

u

Prohl´

aˇsen´ı

Prohlaˇsuji, ˇze jsem tuto diplomovou práci vypracoval samostatnˇe pod veden´ım doc. Petra Hanáˇcka. Dalˇs´ı informace mi poskytl Dipl.-Inform. Martin Grajcar. Uvedl jsem vˇsechny literárn´ı prameny a publikace, ze kterých jsem ˇcerpal.

. . . . Bedˇrich Hovorka

23. kvˇetna 2010

Podˇekov´

an´ı

T´ımto bych chtˇel podˇekovat pˇredevˇs´ım svému vedouc´ımu doc. Petru Hanáˇckovi a Martinu Grajcarovi za poskytnuté rady. Dále bych chtˇel podˇekovat vˇsem, kteˇr´ı mˇe podporovali bˇehem celého studia, zejména rodiˇc˚um a pˇrátel˚um.

(5)

Obsah

Obsah 1

1 Uvod´ 3

2 Uvod do kryptografie´ 4

2.1 Symetrick´a kryptografie . . . 6

2.2 Vnitˇrn´ı struktura ˇsifruj´ıc´ıho bloku . . . 8

2.3 Dosahovan´ı bezpeˇcnosti . . . 10

2.4 Line´arn´ı kryptoanal´yza. . . 11

2.5 Diferenci´aln´ı kryptoanal´yza . . . 12

3 Problematika S-box˚u 13 3.1 Definice s-box˚u . . . 13

3.2 Krit´eria bezpeˇcnosti s-box˚u . . . 14

3.2.1 SAC . . . 14

3.2.2 Bent funkce . . . 15

3.2.3 Nejvˇetˇs´ı odchylka z line´arn´ıch v´yraz˚u. . . 16

3.2.4 Nejvˇetˇs´ı pravdˇepodobnost z diferenci´al˚u . . . 17

3.2.5 Faktor vˇetven´ı . . . 17

3.2.6 R´ˇad algebraick´eho polynomu . . . 17

3.2.7 Bijektivita. . . 18

3.2.8 Dalˇs´ı krit´eria . . . 18

3.3 Pˇr´ıklady dalˇs´ıho uˇzit´ı s-box˚u . . . 19

3.3.1 S-box v DES . . . 19

3.3.2 S-box v AES . . . 20

4 Evoluˇcn´ı algoritmy 21 4.1 Genetick´y algoritmus . . . 21

4.2 Genetick´e programov´an´ı . . . 22

4.2.1 Kartézské genetické programován´ı . . . 23

4.3 EDA . . . 24

4.3.1 Cinnost EDA algoritmuˇ . . . 24

4.3.2 UMDA . . . 25

4.3.3 BMDA . . . 25

4.4 Multikriteri´aln´ı optimalizace. . . 26

4.4.1 Pareto optimum . . . 26

4.4.2 Algoritmus VEGA . . . 27

(6)

4.5 Dalˇs´ı metody k hled´an´ı s-box˚u . . . 29

4.6 Hled´an´ı s-box˚u vs. symbolick´a regrese . . . 30

5 N´avrh programu pro experimenty 31 5.1 Shrnut´ı technick´ych a funkˇcn´ıch poˇzadavk˚u . . . 31

5.2 Prototypov´y n´avrh aplikace . . . 32

5.3 R˚uzn´e typy reprezentace s-boxu . . . 32

5.3.1 Seznam v´ystup˚u . . . 32

5.3.2 Bin´arn´ı reprezentace . . . 33

5.3.3 Acyklick´y graf hradel . . . 33

5.3.4 Posloupnost trojinstrukc´ı platformy i686 . . . 33

5.4 Pouˇzit´e jazyky a platforma . . . 35

6 Popis implementace 37 6.1 Implementace evoluˇcn´ıch algoritm˚u . . . 37

6.2 Implementace reprezentac´ı s-box˚u. . . 39

6.3 Naimplementovan´a krit´eria a jejich vyhodnocen´ı . . . 40

6.4 Rozhran´ı komunikace z Pythonem . . . 41

6.5 Diskuze moˇznost´ı paralelizace v´ypoˇct˚u . . . 41

7 Provedené experimenty a zhodnocen´ı výsledku 43 7.1 Stanoven´ı pravdˇepodobnost´ı mutace a kˇr´ıˇzen´ı pro jednotlivá kritéria . . . . 43

7.2 Porovnán´ı výsledk˚u EDA algoritm˚u s Genetickým algoritmem . . . 46

7.3 Parametry paraleln´ıho náhodného prohledáván´ı. . . 48

7.4 Parametry multikriteriáln´ıho vyhledáván´ı . . . 51

7.5 Hled´an´ı sloˇzitˇejˇs´ıch s-box˚u . . . 53

7.6 Dvoufázové hledán´ı. . . 54

7.7 Celkov´e zhodnocen´ı v´ysledku . . . 54

8 Z´avˇer 55

Seznam pouˇzit´ych zkratek 58

A Chromozóm v Kartézském genetickém programován´ı 61

B Pˇrehled pˇr´ıkaz˚u pro skriptov´an´ı experiment˚u 62

(7)

Kapitola 1

´

Uvod

Rostouc´ı výkon poˇc´ıtaˇc˚u a nár˚ust jejich pouˇzit´ı ˇsirokou masou uˇzivatel˚u v celosvˇetové poˇ c´ı-taˇcové s´ıti si ˇzádaj´ı vyˇsˇs´ı nutnost zaob´ırat se bezpeˇcnost´ı tˇechto uˇzivatel˚u. Nebot’ souˇcást´ı této s´ıtˇe nejsou jen sam´ı lidé a organizace s dobrými úmysly, ale i tac´ı, kteˇr´ı se snaˇz´ı poruˇsit právo na soukrom´ı odposlechnut´ım d˚uvˇerných informac´ı jiné osoby a vyuˇz´ıt je ve sv˚uj prospˇech ˇci tu osobu zkompromitovat jiným zp˚usobem, napˇr´ıklad se za n´ı vydávat. Proto je d˚uleˇzité tˇemto záˇskodn´ık˚um tyto ˇcinnosti prakticky znemoˇznit pˇrevodem d˚uvˇerné informace do podoby, kterou budou schopny pˇreˇc´ıst jen vybrané osoby a nebude schopna pˇreˇc´ıst ˇzádná neˇzádouc´ı osoba – d˚uvˇernost. Dále mus´ı být souˇcást´ı tohoto pˇrevodu ovˇeˇren´ı identity p˚uvodce pˇrenáˇsené informace – autentizace. Algoritmy, které zajiˇst’uj´ı d˚uvˇernost a autentizaci pˇrenáˇsených dat, se zabývá kryptografie. Tˇemto algoritm˚um se téˇz ˇr´ıká ˇsifra. D´ıky ˇc´ım dál t´ım jejich vˇetˇs´ım pouˇz´ıván´ım a objevován´ım novˇejˇs´ıch druh˚u kryptoanalýzy ˇ

zivotnost ˇsifer klesá. Pouˇcen´ı z historie ˇsifer ˇr´ıká, ˇze ˇsifra byla neprolomitelná do té doby, neˇz nˇekdo objevil jej´ı slabinu. Proto musela být vzápˇet´ı vˇzdy vytvoˇrena ˇsifra nová. V dneˇsn´ı dobˇe prob´ıhá neustálý výzkum a vývoj nových ˇsifer, které by mˇeli být odolnˇejˇs´ı v˚uˇci stále pˇribývaj´ıc´ım novˇejˇs´ım druh˚um útok˚u.

Tato práce se zabývá ˇcást´ıˇsifrovac´ıho algoritmu zvanou substituˇcn´ı box (zkrácenˇe s-box) a jeho vývojem. K jejich konstrukci se vyuˇz´ıvaj´ı jak ˇcistˇe matematické pˇr´ıstupy s vyuˇzit´ım teorie Galois pol´ı, tak i r˚uzné stochastické zp˚usoby návrhu, ke kterým se ˇrad´ı napˇr´ıklad evoluce, která je pouˇzita v této práci. Evoluˇcn´ı výpoˇcetn´ı techniky jsou, jak jiˇz název napov´ıdá, inspirovány evoluˇcn´ı teori´ı z biologie. C´ılem práce je pouˇz´ıt nˇekteré vlastnosti substituˇcn´ıch box˚u jako objektivn´ı funkce k jejich evoluˇcn´ımu vývoji. Pˇrestoˇze jiˇz bylo mnoho vlastnost´ı studováno, relativnˇe málo práce bylo uskuteˇcnˇeno pˇri hledán´ı s-box˚u pˇredevˇs´ım v multikriteriáln´ım genetickém prohledáván´ı.

Nejprve vˇsak bylo nutné navrhnout a naimplementovat kolekci algoritm˚u, která tyto vlastnosti umoˇzn´ı experimentálnˇe zjistit. Tato implementace mus´ı pˇredevˇs´ım umoˇznit rychle zadávat r˚uzné evoluˇcn´ı experimenty a, pokud moˇzno, provést je co nejrychleji.

(8)

Kapitola 2

´

Uvod do kryptografie

Kryptografie [8,5] se zabývá pˇredevˇs´ım utajován´ım informace a ovˇeˇrován´ım jej´ıho p˚uvodu tj. pˇrevodem dat do podoby, která je nepouˇzitelná neˇzádouc´ım osobám, které budou dále v textu pro zjednoduˇsen´ı souhrnnˇe nazvány slovem

”utoˇ´ cn´ık“, pˇrestoˇze nemus´ı útoˇcit pˇr´ımo a m˚uˇze jich být v´ıce. ˇZádouc´ı osoby maj´ı narozd´ıl od tˇech neˇzádouc´ıch speciáln´ı znalost. Tou znalost´ı byl v minulosti i postup zaˇsifrován´ı, od toho se v dneˇsn´ı dobˇe upouˇst´ı a tou znalost´ı je pouze kl´ıˇc. Pˇredpokládá se, ˇze algoritmus zná i útoˇcn´ık. Dále m˚uˇze i k neutajované informaci pˇridat dodateˇcnou informaci o jej´ım p˚uvodu, tzv. elektronický podpis ˇci ˇcasové raz´ıtko, a to takovým zp˚usobem, ˇze je prakticky nemoˇzné ovˇeˇrit t´ımto podpisem jinou informaci neˇz v tu, která identicky odpov´ıdá té pˇri podpisu. Takový pˇrevod by mˇel ˇreˇsit hlavn´ı problémy v bezpeˇcnosti:

d˚uvˇernost útoˇcn´ık nesm´ı z´ıskat ˇzádnou uˇziteˇcnou informaci ze zaˇsifrovaného komunikaˇ cn´ı-ho kanálu

autentizaci ovˇeˇren´ı identity odes´ılatele zpr´avy

integritu utoˇ´ cn´ık nem˚uˇze podvrhnout data ˇci jejich ˇcást a vydávat je pˇr´ıjemci za taková, jakoby pocházela od urˇcitého odes´ılatele – tj. i zmˇenit ˇci upravit data pocházej´ıc´ı od pravého odes´ılatele

nepopiratelnost odes´ılatel nem˚uˇze popˇr´ıt u j´ım vytvoˇrené a podepsané zprávy, ˇze ji ode-slal on

Tato transformace se dá zjednoduˇsit do matematického výrazu C = F(K1, P), kde P je prostý text (angl.

”plaintext“),C je ˇsifrový text (angl. ”ciphertext“) a K je kl´ıˇc, který pˇredstavuje moˇznost nastavit, jakým zp˚usobem ˇsifra pˇrevede text. K opaˇcnému procesu zvanému deˇsifrován´ıP = F−1(K2, C) nemus´ı být stejný kl´ıˇc. Proces je téˇz znázornˇen na obrázku2.1. ˇC´ım delˇs´ı kl´ıˇc, t´ım je sloˇzitˇejˇs´ı provést útok hrubou silou k jeho z´ıskán´ı. Funkce F se dále v textu nazývá ˇsifra ˇci také kryptosystém.

Modern´ı kryptografie se dˇel´ı na dvˇe hlavn´ı kategorie (dle poˇctu kl´ıˇc˚u):

symetrická Za symetrický kryptosystém je oznaˇcován takový, kdyˇz lze deˇsifrovac´ı kl´ıˇc snadno odvodit z kl´ıˇce ˇsifrovac´ıho. Vˇetˇsinou existuje jen jeden kl´ıˇc tzv.

(9)

Šifrovací algoritmus

Dešifrovací algoritmus

Zpráva Šifrový text Zpráva

Šifrovací klíč Dešifrovací klíč

Odesílatel

_Příjemce

Obrázek 2.1: Znázornˇen´ı procesu utajován´ı informace

pˇr´ıjemce, jeden kl´ıˇc˚u v p´aru je

”veˇrejný“ a v procesu utajován´ı informace jej odes´ılatel pouˇzije k zaˇsifrován´ı. Druhý kl´ıˇc je

”soukromý“ (kromˇe pˇr´ıjemce jej nikdo nesm´ı znát), kterým pˇr´ıjemce pˇrijatou zprávu deˇsifruje. Veˇrejný kl´ıˇc m˚uˇze d´ıky tomu, ˇze z nˇeho nelze snadno odvodit soukromý, být kdekoliv vystaven. Distribuce kl´ıˇce je vyˇreˇsena za cenu výpoˇcetn´ı nároˇcnosti ˇsifrován´ı.

Oba pˇr´ıstupy se v praxi vˇetˇsinou kombinuj´ı tak, ˇze odes´ılatel nejprve vygeneruje náhodný tajný kl´ıˇc Krand, ten zaˇsifruje asymetrickou ˇsifrou veˇrejným kl´ıˇcem pˇr´ıjemce

C1=Fasym(Kpublicrecv, Krand)

Vlastn´ı zpr´avu P pak zaˇsifruje symetricky kl´ıˇcem Krand: C2 = Fsym(Krand, P), protoˇze

zaˇsifrovat symetricky je o dost rychlejˇs´ı. Nakonec pˇr´ıjemci odeˇsle data ve tvaru C1, C2 (zjednoduˇsenˇe vyjádˇreno). Blokem je dále myˇslena jakákoliv posloupnost po sobˇe jdouc´ıch bit˚u. ˇSifruj´ıc´ım blokem

”krabiˇcka“, která pˇrevede blok prostého textu na blok ˇsifrového. Jednotlivé bloky budou dále znázornˇeny jako signály, které vyznaˇcuj´ı propojen´ı mezi jed-notlivými ˇcástmi algoritmu a tok informace.

V pˇredeˇslých odstavc´ıch byl ilustrován postup pˇri utajován´ı informace. Pro elektronický podpis, se pouˇz´ıvá asymetrická ˇsifra s opaˇcnými kl´ıˇci odes´ılatele. Pˇri podpisu odes´ılatel pouˇzije sv˚uj soukromý kl´ıˇc a pˇr´ıjemce jej deˇsifruje pomoc´ı veˇrejného kl´ıˇce odes´ılatele a t´ım u zprávy ovˇeˇr´ı p˚uvod. Odes´ılatel mus´ı m´ıt dva r˚uzné páry kl´ıˇc˚u, jeden pár pro ˇsifrován´ı a druhý pár pro podpis, aby mu útoˇcn´ık nemohl podstrˇcit k podpisu jinou informaci, která je urˇcená pro odes´ılatele a kterou by t´ım pádem deˇsifroval. A nav´ıc, protoˇze je asymetrické ˇsifrován´ı výpoˇcetnˇe nároˇcná operace, je pˇri podpisu zprávy nejprve vypoˇc´ıtán otisk (tzv. ”hash“), a ten je poté asymetricky zaˇsifrován soukromým kl´ıˇcem odes´ılatele a pˇripojen ke zprávˇe. Pˇr´ıjemce zprávu ovˇeˇr´ı tak, ˇze nejprve spoˇc´ıtá

”hash“ pˇrijaté vlastn´ı zprávy a zároveˇn pomoc´ı veˇrejného kl´ıˇce odes´ılatele deˇsifruje

”hash“ pˇrijatý, poté oba ”hashe“ porovná. Hashovac´ı algoritmy jsou dalˇs´ı skupinou kryptografických algoritm˚u. Hashovac´ı algoritmus tedy provád´ı transformaci libovolnˇe dlouhé zprávy do pevnˇe zvolené délky tzv. ”hashe“. Tento ”hash“ by mˇel být k dané zprávˇe unikátn´ı. Dvˇe r˚uzné zprávy, byt’ by se liˇsily v jednom bitu, nesm´ı m´ıt stejný

”hash“.

V tabulce 2.1je uvedeno nˇekolik nejpouˇz´ıvanˇejˇs´ıch kryptografických algoritm˚u a jejich nejpouˇz´ıvanˇejˇs´ıch délek kl´ıˇc˚u. U asymetrických algoritm˚u se délka kl´ıˇce bˇehem let zvyˇsuje mnohem v´ıce neˇz symetrických a hashovac´ıch. Vyvinout novou symetrickou ˇsifru je mnohem

(10)

Druh Zkratka poˇcet bit˚u kl´ıˇce symetrick´y AES 128, 192, 256 DES 56, 168 RC4 40 aˇz 256 asymetrick´y RSA . . . , 1024, 2048, 4096, . . . DSA 1024, 2048, 3072 hashovac´ı MD5 128 SHA1 160 SHA2 224, 256, 384, 512

Tabulka 2.1: Pˇr´ıklady nejzn´amˇejˇs´ıch kryptografick´ych algoritm˚u

jednoduˇsˇs´ı neˇz vyvinout asymetrickou. U asymetrické je nutné nejprve naj´ıt matematický princip, proto se jejich bezpeˇcnost v´ıce odráˇz´ı ve velikosti kl´ıˇce. Symetrické ˇsifry s kl´ıˇcem menˇs´ım neˇz 80 bit˚u jsou povaˇzovány za slabé. U asymetrických je ta hranice jiˇz na 1024 bitech. Hashovac´ı algoritmy MD5 a SHA1 jsou téˇz povaˇzovány za slabé. 168-bitový kl´ıˇc u DESu se nazývá TripleDES, tento kl´ıˇc se rozdˇel´ı na tˇri 56-bitové a pˇri ˇsifrován´ı se projde tˇremi fázemi DESu C = F(K3,(F−1(K2(F(K1, P))), prostˇredn´ı je deˇsifrován´ı. Z hasho-vac´ıch jsou uvedeny pouze bezkl´ıˇcové. NIST1 vypsal soutˇeˇz na nový standard SHA3, která se nyn´ı nacház´ı ve 2.kole, mezi postupuj´ıc´ımi kandidáty jsou napˇr´ıklad ˇsifry CubeHash ˇci Luffa([2]).

2.1 Symetrick´

a kryptografie

Symetrické ˇsifry se dˇel´ı na blokové a proudové. Proudové ˇsifry berou zprávu po bajtech, pˇr´ıpadnˇe bitech ˇci znac´ıch. Bloková ˇsifra bere zprávu po vˇetˇs´ıch bloc´ıch (64 aˇz 256 bit˚u). Vetˇs´ı velikost bloku zabraˇnuje statistickým a slovn´ıkovým útok˚um. Pron-bitový blok je 2n

moˇzných vstupn´ıch i výstupn´ıch kombinac´ı a existuje 2n! moˇzných zobrazen´ı. Pˇr´ıkladem blokové ˇsifry je napˇr´ıklad DES který ˇsifruje po 64 bitových bloc´ıch. Pˇr´ıkladem proudové ˇsifry je RC4. Proudovou ˇsifrou se m˚uˇze být i bloková, pokud je zapojena v urˇcitém reˇzimu (viz dále).

Reˇzimy blokov´ych ˇsifer

Rozdˇelené bloky zprávy mohou být jakoukoliv blokovou symetrickou ˇsifrou zpracovány tˇemito následuj´ıc´ımi zp˚usoby. Pokud má útoˇcn´ık k dispozici odpov´ıdaj´ıc´ı dvojice blok˚u prostého a ˇsifrového textu, mohou být nˇekteré reˇzimy slabˇs´ı. U nˇekterých reˇzim˚u pˇribývá ke kl´ıˇci jeˇstˇe inicializaˇcn´ı vektor, který je pouˇzit pro inicializaci ˇsifrován´ı prvn´ıho bloku, jako dalˇs´ı znalost nutná k deˇsifrován´ı.

Electronic Codebook (ECB) Nejjednoduˇsˇs´ı, kaˇzdýi-tý blok zprávy je pˇr´ımo vstupem ˇsifrovac´ıho bloku a výstup je pˇr´ımo i-tým blokem ˇsifrového textu. Kryptoanalýza

(11)

T´ım je poruˇsena i integrita dat, nebot’ útoˇcn´ık m˚uˇze podstrˇcit jiný blok ˇsifrového textu.

Cipher Block Chaining (CBC) Bloky jsou zˇretˇezeny. Na rozd´ıl od ECB je kaˇzdý blok xorován s pˇredchoz´ım výstupn´ım blokem pˇredt´ım, neˇz bude pouˇzit jako vstup ˇ sif-rovac´ıho bloku. Blok prvn´ıho je xorován s inicializaˇcn´ım vektorem. Znázornˇen je na obrázku2.2.

Cipher Feedback (CFB) Narozd´ıl od CBC reˇzimu je blok prostého textu xorován aˇz s výstupem bloku ˇsifry a výsledek také pˇriveden na vstup následuj´ıc´ıho ˇsifruj´ıc´ıho bloku. Vstupem prvn´ıho bloku je inicializaˇcn´ı vektor.

Output Feedback (OFB) Narozd´ıl do CFB reˇzimu je na vstup následuj´ıc´ıho bloku poslán výstup pˇredchoz´ıho jeˇstˇe pˇred xorován´ım s plaintextem.

E

K

P

1

P

2

C

1

C

2

Obr´azek 2.2: CBC m´od [23]

Mimo toho jeˇstˇe existuje tzv.

”counter mód“, kdy je bloková ˇsifra pouˇzita k generován´ı pseudonáhodné posloupnosti, tak ˇze jsou na vstup blokové ˇsifry pˇrivádˇeny hodnoty ˇc´ıtaˇce. Výhodou je, ˇze kaˇzdý blok m˚uˇze být ˇsifrován nezávisle na ostatn´ıch. Prostý text se xoruje s výstupem blokové ˇsifry. Hodnota ˇc´ıtaˇce se samozˇrejmˇe nesm´ı opakovat pro stejný kl´ıˇc. I u reˇzimu OFB se dá hovoˇrit jako o proudové ˇsifˇre a o reˇzimu CFB o proudové samosyn-chrozuj´ıc´ı.

(12)

2.2 Vnitˇ

rn´ı struktura ˇ

sifruj´ıc´ıho bloku

Zaˇsifrován´ı jednoho bloku se rozdˇeluje na r˚uzné fáze podle druhu algoritmu. Mnoho mo-dern´ıch ˇsifer je zaloˇzeno na Feistelovˇe substituˇcn´ı/permutaˇcn´ı s´ıti, tj. jsou kombinac´ı tˇechto transformac´ı, prob´ıhaj´ıc´ıch v nˇekolika kolech za sebou:

substituce Urˇcitý blok kódu je nahrazen jiným z mnoˇziny moˇzných kombinac´ı transpozice/permutace Pracuje s nˇekolika bloky, tˇem je zmˇenˇeno poˇrad´ı

m´ıchan´ı se subkl´ıˇcem z kl´ıˇce jsou vygenerovány subkl´ıˇce pro jednotlivá kola, ty jsou pak ”pˇrim´ıchány“, nejˇcastˇeji XORem

míchání podklíče K1 prostý text . . . C16 . . . P16 P1 . . . S21 S22 S23 S24 S11 S12 S13 S14 S31 S32 S33 S34 1. kolo C 2. kolo 3. kolo 1 . . . šifrový text míchání podklíče K2 míchání podklíče K3 míchání podklíče K4

(13)

zn´azornˇeny jako jako

”krabiˇcky“ Skn, do kterých vstupuj´ı, a ze kterých vystupuj´ı signály. Permutace je znázornˇena pomoc´ı signál˚u. V kaˇzdém kole a na kaˇzdé pozici jsou uˇzity s-boxy s r˚uznými zobrazen´ımi. Na uvedeném obrázku se jedná o s-boxy typu 4×4. V této práci nás bude zaj´ımat jejich vnitˇrek a výstupy. Principy s-box˚u jsou nejlépe popisovány na symetrických ˇsifrách, aˇc se nevyluˇcuje jejich pouˇzit´ı i v jiných druz´ıch algoritm˚u. Jejich problematika lze ukázat nejlépe právˇe na symetrických ˇsifrách, protoˇze sami maj´ı charakter symetrické blokové ˇsifry, i kdyˇz v menˇs´ı podobˇe.

Tato jednoduchá s´ıt’ sama o sobˇe vˇsak nezaruˇcuje moˇznost jak ˇsifrován´ı tak deˇsifrován´ı pomoc´ı té samé struktury. Aby proces mohl být reverzibiln´ı, ˇci-li aby bylo moˇzné ˇ sifrovat/de-ˇsifrovat ve v´ıce kolech pomoc´ı té samé struktury, navrhl Feistel [24] strukturu na obrázku 2.4.

Obr´azek 2.4: Struktura jednoho kola Feistelovy ˇsifry [24]

Vstupn´ı text se rozdˇel´ı na dvˇe poloviny. V kaˇzdém kole je pravá polovina vstupem jak ˇsifruj´ıc´ı funkceF, tak levou polovinou výstupu kola. Levá polovina vstupu je xornuta s výstupem ˇsifruj´ıc´ı funkce a výsledek je pravou polovinou výstupu. ˇSifruj´ıc´ı funkce je nastavena pˇr´ısluˇsným subkl´ıˇcem. Pro deˇsifrován´ı se pouˇzij´ı subkl´ıˇce v opaˇcném poˇrad´ı. Na funkciF se pˇrenáˇs´ı odpovˇednost za bezpeˇcnost, o reverzibilitu se postará Feistel struktura. Kdyˇz pro ˇsifrován´ı v kaˇzdém kole plat´ı (výpoˇcet kola následuj´ıc´ıho):

Li+1 = Ri (2.1)

Ri+1 = Li⊕F(Ki, Ri) (2.2)

pro deˇsifrov´an´ı v tom pˇr´ıpadˇe plat´ı v kaˇzd´em kole :

Ri = Li+1 (2.3)

Li = Ri+1⊕F(Ki+1, Ri+1) (2.4) Li resp.Ri resp.Ki je lev´y vstup resp. prav´y vstup resp. subkl´ıˇc kola. Ve funkciF se m˚uˇze

provádˇet substituce, permutace a transpozice. V n´ı m˚uˇze být obsaˇzeno nˇekolik s-box˚u. Tuto strukturu pˇrejalo mnoho ˇsifer, napˇr. DES ˇci Twofish. Liˇs´ı se pˇredevˇs´ım ve funkci F, generován´ı subkl´ıˇc˚u a velikosti zpracovávaného bloku. Na obrázku 2.5 je znázornˇena funkce v ˇsifˇre DES.E je expanze z 32 bit˚u na 48 bit˚u. Pak následuje m´ıchan´ı se 48 bitovým subkl´ıˇcem. Výsledek je rozdˇelen mezi 8 s-box˚u typu 6×4. Jejich hlavn´ım úkolem je nelineárn´ı

(14)

i? 1 ? E ? p rd K i ? S 1 S 2 S 3 S 4 S 5 S 6 S 7 S 8 ? P

E

P

S1

S2

S3

S4

S5

S6

S7

S8

R

K

i i i? 1 ? E ? p rd K i ? S 1 S 2 S 3 S 4 S 5 S 6 S 7 S 8 ? P

E

P

S1

S2

S3

S4

S5

S6

S7

S8

R

K

E

P

S1

S2

S3

S4

S5

S6

S7

S8

R

K

E

P

S1

S2

S3

S4

S5

S6

S7

S8

R

K

i i

Obr´azek 2.5: Struktura Feistelovy funkce v DESu [8]

zobrazen´ı jejich vstupu na výstup (vysvˇetleno dále). Výstupy s-box˚u jsou slouˇceny do 32 bit˚u a permutovány funkc´ıP.

V podkapitole 3.3 (po vysvˇetlen´ı následuj´ıc´ı pojm˚u) jsou nˇekteré s-boxy popsány po-drobnˇeji.

2.3 Dosahovan´ı bezpeˇ

cnosti

Pˇri návrhu kryptosystému, by mˇely být poloˇzeny tyto otázky:

• Jak m˚uˇze kryptolog dok´azat bezpeˇcnost kryptosyst´emu?

• Jaké statistické vlastnosti má struktura kryptosystému?

• Jak zjist´ı tyto vlastnosti efektivnˇe?

Na prvn´ı otázku nelze odpovˇedˇet plnˇe uspokojivˇe, protoˇze s rostouc´ım výkonem poˇc´ıtaˇc˚u a úsil´ım kryptoanalytik˚u nen´ı vylouˇceno objeven´ı slabiny ˇsifry a vyuˇzit´ı tohoto objevu k útoku. Proto lze ˇsifru navrhovat s c´ılem odolnosti proti vˇsem známým útok˚um, pˇriˇcemˇz nen´ı prakticky moˇzné celou ˇsifru úplnˇe zvalidovat. Lze mˇeˇrit s´ılu ˇcást´ı ˇsifer pomoc´ı r˚uzných kritéri´ı.

Odpovˇed´ı na druhou otázku je, ˇze [8] ˇsifra nesm´ı m´ıt malé mnoˇzstv´ı moˇzných pár˚u prostých text˚u a pˇr´ısluˇsných ˇsifrových pro r˚uzné délky z celého textu. Jakákoliv mnoˇzina výstupn´ıch bit˚u by nemˇela záviset na jakékoliv vlastn´ı podmnoˇzinˇe mnoˇziny vˇsech vstupn´ıch bit˚u pro pevný kl´ıˇc. Jakákoliv mnoˇzina výstupn´ıch bit˚u by nemˇela záviset na jakékoliv vlastn´ı podmnoˇzinˇe mnoˇziny vˇsech bit˚u kl´ıˇce pro pevný vstupn´ı text. Z pouˇzitelných

(15)

r˚uzných pozic´ıch a jejich závislosti. Je jasné ˇze ideálnˇe náhodný výstup nelze prakticky vytvoˇrit.

Bezpeˇcným vlastnostem mus´ı nejprve odpov´ıdat jednotlivé prvky ˇsifry. R˚uzné prvky jsou odpovˇedné za r˚uzné vlastnosti celé ˇsifry. Pˇri konstrukci jednotlivých prvk˚u m˚uˇze být d´ıky malému mnoˇzstv´ı vstup˚u a výstup˚u nenároˇcné provˇeˇrit vˇsechny tyto vlastnosti pro vˇsechny moˇzné kombinace. Moˇznostmi jak ovˇeˇrit odolnost prvku je i proveden´ı známého ´

utoku, který tˇeˇz´ı ze slabin zp˚usobených ˇspatnými charakteristikami prvku ˇsifry. Dva nej-d˚uleˇzitˇejˇs´ı útoky na ˇsifrovac´ı algoritmy, jeˇz se pouˇz´ıvaj´ı mj. i k ovˇeˇren´ı náhodnosti výstupu s-box˚u byly vytvoˇreny k útoku na algoritmus DES.

2.4 Line´

arn´ı kryptoanal´

yza

Lineárn´ı kryptoanalýza [7] zkouˇs´ı tˇeˇzit z vychýlené pravdˇepodobnosti výskytu lineárn´ıch výraz˚u zahrnuj´ıc´ıch jak bity prostého textu, ˇsifrového textu a (pod)kl´ıˇce (to v obecném pˇr´ıpadˇe, v této práci dále neuvaˇzováno). Jedná se o tzv.

”known plaintext attack“: to zna-mená, ˇze se pˇredpokládá, ˇze útoˇcn´ık má k dispozici sadu prostých text˚u a k nim pˇr´ısluˇsných ˇsifrových. Pˇresto nemá útoˇcn´ık moˇznost vybrat, který prostý text (a pˇr´ısluˇsný ˇsifrový) je dostupný. V mnoha aplikac´ıch a scénáˇr´ıch se povaˇzuje za dostateˇcné, ˇze ta sada text˚u je náhodná. Jinými slovy shrnuto se lineárn´ı kryptoanalýza snaˇz´ı z náhodné sady prostých text˚u a pˇr´ısluˇsných ˇsifrových text˚u aproximovat ˇsifrovac´ı algoritmus r˚uznými lineárn´ımi výrazy a nej(ne)pravdˇepodobnˇejˇs´ı z nich pouˇz´ıt k postupnému z´ıskán´ı kl´ıˇce.

Linearita je vztaˇzena v˚uˇci mod-2 bitov´e operaci (napˇr., exkluzivn´ı souˇcet oznaˇcen´y pomoc´ı

”⊕“). A line´arn´ı v´yraz je ve formˇe:

a1·Xi1⊕a2·Xi2 ⊕ · · · ⊕au·Xiu⊕b1·Yj1 ⊕a2·Yj2 ⊕ · · · ⊕av·Yjv = 0 (2.5)

kde Xi reprezentuje i-tý vstupn´ı prostý textXi = [Xi1, Xi2, . . .] a Yj reprezentuje j-tý

v´ystupn´ı ˇsifrov´y text Yi = [Yj1, Yj2, . . .].

2 _{Tato rovnice reprezentuje}

”sumu“ exkluzivn´ıch souˇct˚u vstupn´ıch a výstupn´ıch bit˚u, které jsou vybrány3 bitovými vektorya(pro vstupn´ı) a b(pro výstupn´ı).

Konceptem lineárn´ı kryptoanalýzy je urˇcit výrazy ve formˇe rovnice2.5, které maj´ı vyso-kou nebo naopak n´ızvyso-kou pravdˇepodobnost. Pokud má k takovým pravdˇepodobnostem ten-denci, znamená to evidentnˇe slabou schopnost ˇsifry produkovat výstup s charakteristikami náhodnˇe vygenerovaného. Mˇejme náhodnˇe vygenerované bityu+v a pokud je pouˇzijeme v rovnici 2.5, pravdˇepodobnost pL by mˇela být pˇresnˇe 1₂. Odchylku od pravdˇepodobnosti

pL= 1₂ nazýváme _”bias“ znaˇcenoi, kde ise vztahuje k výrazu. ˇC´ım je vyˇsˇs´ı velikost této

odchylky,|i =pL−1₂|, t´ım snazˇs´ı je ˇsifru rozlousknout.

Poznamenejme, ˇzepL= 1 znamená, ˇze lineárn´ı výraz2.5je pˇresnou reprezentac´ı ˇsifry a

t´ım pádem je ˇsifra katastrofálnˇe slabá. PokudpL= 0, potom výraz reprezentuje afinn´ı vztah,

také znak veliké slabosti. Pro aritmetiku mod-2 je afinn´ı funkce jednoduˇse komplementem lineárn´ı. Obˇe lineárn´ı resp. afinn´ı aproximace, indikované pravdˇepodobnostmipL> 1₂ resp.

pL< 1₂, maj´ı v lineárn´ı kryptoanalýze stejnou váhu a dále se v tomto textu budou pojmem

”line´arn´ı“ myˇsleny oba dva vztahy.

2

Vstupn´ı i v´ystupn´ı text jsou definov´any jako vektory bit˚u.

3

(16)

2.5 Diferenci´

aln´ı kryptoanal´

yza

Diferenciáln´ı kryptoanalýza [7] vyuˇz´ıvá vysokou pravdˇepodobnost spoleˇcného výskytu roz-d´ıl˚u mezi dvˇema ˇsifrovými texty na výstupu s rozd´ıly mezi dvˇema prostými texty na vstupu. Napˇr´ıklad mˇejme systém se vstupem X = [X1X2. . . Xn] a výstupem Y = [Y1Y2. . . Yn].

Necht’ dva vstupy systému jsouX0 aX00 s odpov´ıdaj´ıc´ımi výstupyY0 aY00. Vstupn´ı rozd´ıl je dán ∆X=X0⊕X00 kde

”⊕“ reprezentuje bitov´y exkluzivn´ı souˇcet n-bitov´ych vektor˚u, a odtud ∆X= [∆X1∆X2. . .∆Xn] (2.6) kde ∆Xi =Xi0⊕X 00 i kdeX 0 i resp. X 00

i reprezentuje i-t´y bit X

0 _resp. _X00_{. Obdobnˇ}_{e pro}

v´ystupy.

V ideáln´ı ˇsifˇre4 je pravdˇepodobnost, ˇze se vyskytuje ˇcásteˇcný rozd´ıl výstup˚u ∆Y pˇri daném ˇcásteˇcném rozd´ılu vstup˚u ∆X, pD = 1₂

n

, kde n je poˇcet bit˚u v X. Diferenciáln´ı kryptoanalýza je pouˇzitelná v pˇr´ıpadech, kde se ∆Y vyskytuje spoleˇcnˇe s ∆X s velmi velkou pD (napˇr., o hodnˇe vˇetˇs´ı neˇz 1₂

n

). Dvojice (∆X,∆Y) je nazývána jako diferenciál. Diferenciáln´ı kryptoanalýza je tzv.

”chosen plaintext attack“, to znamená, ˇze si útoˇcn´ık m˚uˇze vybrat vstup a provˇeˇrit výstup v pokusu odvodit kl´ıˇc. V diferenciáln´ı kryptoanalýze, ´

utoˇcn´ık m˚uˇze vybrat dvojici vstup˚u X00 a X00 patˇr´ıc´ı k ∆X pˇri znalosti, ˇze se pˇri ∆Y s nejvˇetˇs´ı pravdˇepodobnost´ı vyskytuje ∆X.

(17)

Kapitola 3

Problematika S-box˚

u

3.1 Definice s-box˚

u

Substituˇcn´ı box (s-box) je ˇcást ˇsifry taková, ˇze jej´ım výstupem, jak jiˇz sám název název napov´ıdá, je substituovaný vstup. Právˇe na s-boxy bývá pˇrenesena vˇetˇsina odpovˇednosti za nelineárnost a náhodnost výstupu celé ˇsifry. Bezpeˇcnost vˇetˇsiny blokových ˇsifer (pˇredevˇs´ım tˇech na Feistelovˇe s´ıti) závis´ı na vlastnostech s-box˚u pouˇzitých v jednotlivých kolech. Ty budou popsány n´ıˇze. Vˇetˇsinou se s-box znázorˇnuje jako

”krabiˇcka“ s jednotlivými vstupy a výstupy, kde jsou vˇetˇsinou znázornˇeny jednotlivé bity v poˇrad´ı a ˇc´ıslován´ı, jak je vidˇet na obr3.1.

x0 x1 x2 x3

y0 y1 y2 y3

s-box

4 x 4

Obr´azek 3.1: Sch´ema s-boxu

Form´alnˇe se s-box d´a definovat takto:

Definice 3.1. [12] n×m s-box S je zobrazen´ıS:{0,1}n_{→ {}_0,₁_}m_. _S _m˚_uˇ_{ze b´}_yt

reprezen-tován jako 2n m-bitová ˇc´ısla, oznaˇcená r0, . . . , r2n₋₁, v tom pˇr´ıpadˇeS(x) =r_x ,0≤x <2n

a ri jsou ˇr´adky s-boxu. Alternativnˇe, S(x) = [cm1(x)cm2(x). . . c0(x)] kde ci je pevn´a

Boo-leovsk´a funkce ci:{0,1}n→ {0,1} ∀i; to jsou sloupce s-boxu.

Velikost s-box˚u se ˇcasto zapisuje jako n×m. Velké s-boxy [6] jsou obecnˇe pokládány za bezpeˇcnˇejˇs´ı neˇz malé, ale za cenu vˇetˇs´ı sloˇzitosti realizace a validace. S-boxy s malým vstupem a velkým výstupem maj´ı velmi dobrou lineárn´ı aproximaci. U s-box˚u s dostateˇcnˇe vˇetˇs´ım výstupem neˇz vstupem je garantována nejménˇe jedna perfektn´ı lineárn´ı aproximace.

(18)

3.2 Krit´

eria bezpeˇ

cnosti s-box˚

u

Kritéria, jeˇz se daj´ı pouˇz´ıt jako1 heuristické ˇci hodnot´ıc´ı funkce, mohou být pouˇzita k pro-hledáván´ı stavového prostoru. Témˇeˇr vˇsechny vycházej´ı (ˇci maj´ı nˇejaký vztah) z lineárn´ı a diferenciáln´ı kryptoanalýzy. Vycházej´ı z moˇzných útok˚u na ˇsifru, mohou být r˚uznˇe mate-maticky dokázány odolnosti v˚uˇci tˇemto útok˚um, jiným se sp´ıˇse vˇeˇr´ı, ˇze funguj´ı.

3.2.1 SAC

Strict Avalanche Criterion [8] je zaloˇzen na tzv.

”lavinovém efektu“. U s-box˚u se zkoumá, kolik bit˚u výstupu se zmˇen´ı pˇri zmˇenˇe jednoho bitu vstupu. Pˇri vyzkouˇsen´ı zmˇeny jed-noho bitu u vˇsech moˇzných vstup˚u, by pr˚umˇer zmˇen na výstupu mˇel být polovina poˇctu výstupn´ıch bit˚u.

Definice 3.2(Avalanche efekt). Funkcef :{0,1}n_{→ {}_0,₁_}m _{ukazuje lavinov´}_{y efekt pokud}

a jen tehdy:

X

x∈{0,1}n

wt(f(x)⊕f(x⊕c_i(n))) =m2n−1 (3.1)

pro ∀i : 1 ≤ i ≤ n, kde wt(x) je Hammingova v´aha2 a c(_in) je n-dimenzion´aln´ı vektor s wt(c(_in)) = 1 s nastavenou pozic´ıi.

Z Avalanche efektu je definov´ano SAC:

Definice 3.3 (SAC, SAC 0. ˇr´adu). Funkce f :{0,1}n _{→ {}_0,₁_}m _splˇ_{nuje SAC, pokud pro}

∀i: 1≤i≤nplat´ı tyto rovnice:

X

x∈{0,1}n

f(x)⊕f(x⊕c(_in)) = (2n−1,2n−1, . . . ,2n−1) (3.2)

Kaˇzdá funkce f splˇnuj´ıc´ı SAC je nazývána

”siln´y s-box“

Pokud funkce splˇnuje SAC, kaˇzdý jej´ı výstupn´ı bit by se mˇel zmˇenit s poloviˇcn´ı pravdˇ e-podobnost´ı, pokaˇzdé co je zmˇenˇen jeden vstupn´ı bit. Pokud nˇejaký výstup závis´ı na pouze nˇekolika málo vstupn´ıch bitech, potom m˚uˇze útoˇcn´ık tˇechto vztah˚u vyuˇz´ıt k nalezen´ı kl´ıˇce. SAC bylo dále rozˇs´ıˇreno:

Definice 3.4 (SAC 1. ˇr´adu). Funkce f :{0,1}n _{→ {}_0,₁_}m _splˇ_{nuje SAC 1. ˇ}_r´_{adu pokud a}

jen tehdy:

• f splˇnuje SAC 0. ˇr´adu

• kaˇzdá funkce z´ıskaná z f, tak ˇze zachovává jedeni-tý bit konstantn´ı a rovný c splˇnuje SAC pro kaˇzdéi∈ {1,2, . . . , n} a c= 0 nebo c= 1.

Obecnˇe lze rozˇs´ıˇren´ı definovat rekurzivnˇe, a to aˇz do ˇr´aduk≤n−2:

Definice 3.5 (SAC k-t´eho ˇr´adu). Funkce f :{0,1}n _{→ {}_0,₁_}m _splˇ_{nuje SAC} _k_-t´_{eho ˇ}_r´_adu

(19)

ˇ C´ıslo funkce 00 01 10 11 1 0 0 0 1 2 0 0 1 0 3 0 1 0 0 4 1 0 0 0 5 0 1 1 1 6 1 0 1 1 7 1 1 0 1 8 1 1 1 0

Tabulka 3.1: Z´akladn´ı funkce splˇnuj´ıc´ı MOSAC [8]

SAC nejvyˇsˇs´ıho moˇzného ˇrádu k = n−2 má zvláˇstn´ı oznaˇcen´ı MOSAC3. V tabulce 3.1jsou v ˇrádc´ıch uvedeny základn´ı booleovské funkce splˇnuj´ıc´ı MOSAC. Tyto funkce maj´ı 2-bitový vstup uvedený ve sloupc´ıch a splˇnuj´ı SAC 0. ˇrádu. Sloupce reprezentuj´ı vˇsechny kombinace vstup˚u. Jak je patrné, výstupy jsou u kaˇzdé funkce u tˇrech bit˚u jsou stejné a jeden se liˇs´ı.

Vˇeta 3.1. Siln´y s-box nen´ı line´arn´ı ani afinn´ı. D˚ukaz. D˚ukaz je uveden v [8] na str. 25

3.2.2 Bent funkce

V [22] kombinatorice, je

”bent funkce“ zvl´aˇstn´ı typ booleovsk´e funkce.”Bent

4 _{funkce“ jsou}

tak pojmenovány protoˇze jsou odliˇsné od lineárn´ıch a afinn´ıch funkc´ı. Proto byly obsáhle studovány pˇredevˇs´ım pro jejich uplatnˇen´ı v kryptografii, aˇckoliv jejich spektrum aplikac´ı je ˇsiroké i v teorii kódován´ı a návrhu kombinaˇcn´ıch obvod˚u. Definice m˚uˇze být rozˇs´ıˇrena v mnoha moˇznostech.

Definice 3.6. [8] Booleovsk´a funkce g(w) :{0,1}n _{→ {}_0,₁_}_, _n_{= 2l, l}_{∈ N} _{je bent funkc´ı,}

pokud kaˇzdý koeficient Fourierovy transformace5 G(w)Walshovy funkce(−1)g(w)definované pro vˇsechna w∈ {0,1}n G(w) = √1 2n X x∈{0,1}n (−1)g(x)+x·w (3.3) má jednotkovou velikost |G(w)|= 1 (3.4)

Vˇeta 3.2 (Vztah mezi bent funkcemi a funkcemi splˇnuj´ıc´ımi SAC). Necht’ An oznaˇcuje

mnoˇzinu vˇsech n-bitových booleovských funkc´ı, Bn mnoˇzinu n-bitových bent funkc´ı a Sn

mnoˇzinun-bitových booleovských funkc´ı splˇnuj´ıc´ıch SAC. A obzvláˇst’ m˚uˇzeme oznaˇcit mno-ˇzinu n-bitových booleovských funkc´ı splˇnuj´ıc´ıch MOSAC jako Smax

n . Vztah mezi tˇemito

mnoˇzinami pro sud´a n lze vyj´adˇrit jako

S_nmax⊆ Bn⊆ Sn⊂ An (3.5)

1_{nebo podle nichˇ}_{z se daj´ı sestavit} 2

poˇcet jedniˇckov´ych bit˚u

3_{z anglick´}_eho

”maximal order“

4

ˇcesky: kˇriv´e

5

(20)

n 2 3 4 5 6 |An| 16 256 65536 232 264 |Sn| 8 64 4128 ? ? |Bn| 8 – 896 – 232.3 |Smax n | 8 16 32 64 128

Tabulka 3.2: Velikost mnoˇzin z vˇety3.2[8]

D˚ukaz. D˚ukaz je uveden v [8] na str. 31

Toho lze vyuˇz´ıt k zúˇzen´ı prohledávac´ıho prostoru, pˇri hledán´ı funkc´ı splˇnuj´ıc´ıch SAC. Pro s-boxy s v´ıce výstupy lze z definice 3.1 pˇredpokládat, ˇze kaˇzdý výstup je booleovská funkce a podle toho sestavit hodnot´ıc´ı funkci. Pro pˇredstavu jsou v tabulce 3.2 uvedeny velikost´ı nˇekterých mnoˇzin.

3.2.3 Nejvˇetˇs´ı odchylka z line´arn´ıch v´yraz˚u

K výpoˇctu nelinearity boolovské funkce f m˚uˇzeme pouˇz´ıt vzorec z [8], zaloˇzený na Ha-mmingovˇe vzdálenosti od mnoˇziny afinn´ıch funkc´ı a na Walshovˇe transformaci ˆF funkce

ˆ

f :{0,1}n_{→ {}_1,₋₁_}_{, obdobnˇ}_{e jak u SAC:}

ˆ f(x) = (−1)f(x) (3.6) ˆ F(w) = X x∈{0,1} f(x)·(−1)x·w (3.7) δ(f) = 2n−1−1 2wmax∈{0,1}| ˆ F(w)| (3.8)

Ale pro v´ıce v´ystup˚u bude jednoduˇsˇs´ı spoˇc´ıtat nejvˇetˇs´ı v´ychylku s-boxuq podle vzorce z [16] :

LPmax(q) = max

a,b6=0(2P rX[X·a=q(X)·b]−1) 2

(3.9) Tento vzorec je zaloˇzen na postupu, ˇze se nejprve vytvoˇr´ı se kompletn´ı tabulka ˇcetnost´ı vˇsech lineárn´ıch aproximac´ı odpov´ıdaj´ıc´ı tvaru rovnice2.5. ˇRádky resp. sloupce odpov´ıdaj´ı jednotlivým parametr˚um a resp. b, ∀a, b kde 0 ≤ a < n a 0 ≤ b < m6, Kaˇzdá buˇnka tabulky [7] reprezentuje pravdˇepodobnost výskytu (ˇci poˇcet shod) z lineárn´ım výrazem odpov´ıdaj´ıc´ımu parametr˚umaa b. A z nich se vybere nejvˇetˇs´ı linearita a ta se pak pouˇzije pˇri hledán´ı s-boxu, který má tuto maximáln´ı linearitu nejmenˇs´ı. Odchylka je ve vzorci normalizovaná do intervalu h0,1i. Jak vyplývá z textu uvedeného výˇse, zaj´ımavá je jej´ı velikost, ne znaménko.

6

(21)

3.2.4 Nejvˇetˇs´ı pravdˇepodobnost z diferenci´al˚u

Pro výpoˇcet nejvˇetˇs´ı pravdˇepodobnosti diferenciálu s-boxu q pouˇzijeme tento vzorec [16], vycházej´ıc´ı z diferenciáln´ı kryptoanalýzy:

DPmax(q) = max

a6=0,bP rX[q(X⊕a)⊕q(X) =b] (3.10)

Tento vzorec je opˇet zaloˇzen na tabulce [7] poˇctu výskyt˚u (rozloˇzen´ı pravdˇepodobnosti) rozd´ıl˚u, ve které kaˇzdý ˇrádek reprezentuje hodnoty ∆X =aa sloupce reprezentuj´ı hodnoty ∆Y =b. Kaˇzdá buˇnka tabulky reprezentuje poˇcet pˇr´ıpad˚u, kdy je výstupn´ı rozd´ıl roven b, pokud je vstupn´ı rozd´ıla. Poznamenejme, ˇze napˇr´ıklad pˇr´ıpad vylouˇcený z výpoˇctu maj´ıc´ı parametry (a= 0,b= 0), má vˇzdy nejvˇetˇs´ı pravdˇepodobnost v tabulce, která vˇsak nepatˇr´ı ke skuteˇcnému rozd´ılu. Obdobnˇe jako u kritériaLPmaxje nejvˇetˇs´ı pravdˇepodobnost pouˇzita z tabulky k minimalizaci. V [12] je toto kritérium nazýváno

”tabulka XOR“.

3.2.5 Faktor vˇetven´ı

Proces ˇsifrován´ı by mˇel kódovanou informaci pokud moˇzno rozptýlit tak, aby prohledávac´ı prostor byl pro útoˇcn´ıka co nejsloˇzitˇejˇs´ı. Pˇredstavme si prohledávac´ı prostor ve tvaru stromu. Minimáln´ı poˇcet následovn´ık˚u kaˇzdého uzlu urˇcuje spodn´ı odhad sloˇzitosti prohledáván´ı, který je na nˇem závislý exponenciálnˇe.

Faktor vˇetven´ı (Branching Factor, Branch Number) pouˇz´ıvaj´ı v [4] jako hlavn´ı kritérium v lineárn´ım kroku ˇsifry pojmenovaném

”MixColumn“ po bajtech. Avˇsak nic nebrán´ı tomu ji vyzkouˇset i na nelineárn´ı prvek po bitech. Necht’f je s-box dle3.1,wt(x) znaˇc´ı Hammingovu váhu. Faktor vˇetven´ı je m´ıra mocnosti rozptýlen´ı:

Definice 3.7. Faktor vˇetven´ı funkcef je

min

∆x6=0,x(wt(∆x) +wt(∆f(x))) (3.11)

∆f(x) =f(x)⊕f(x⊕∆x) (3.12)

Na vstupu a výstupu jsou ve skuteˇcnosti rozd´ıly, poˇc´ıtá se minimáln´ı souˇcet poˇctu zmˇen ve vstupu a výstupu dohromady. Toto kritérium se pouˇzije k maximalizaci.

3.2.6 R´ˇad algebraick´eho polynomu

Funkci, jeˇz popisuje s-box, je moˇzné aproximovat nejen lineárn´ımi výrazy v GF(2) aritme-tice, ale i interpolovat polynomy v této aritmetice pro kaˇzdý výstupn´ı bit. Polynom pro jeden z bit˚u výstupuyi lze definovat pomoc´ı vzorce:

yi(x) = X a∈A   n Y j=0 aj·zj   (3.13)

Kde z0 pˇredstavuje 1, zj = xj−1 jsou jednotlivé bity vstupu7, A je mnoˇzina parametr˚u urˇcuj´ıc´ıch (zap´ınaj´ıc´ıch jednotlivé bity) polynomu. ˇRádem polynomu pro jeden výstupn´ı bit je maximáln´ı Hammingova váha z mnoˇzinyA(bit pro jedniˇcku se nezahrnuje). Pro celý s-box je pak jako kritérium pouˇzitelný minimáln´ı ˇrád z polynom˚u pro výstupy:

min 0≤i<mmaxa∈Ai

wt(a_[1···n])

(3.14)

7

(22)

S-box 4×4 dan´y posloupnost´ı

[ 7 11 15 2 8 4 1 3 6 9 14 5 12 0 13 10 ] vyjadˇruj´ı tyto polynomy tˇret´ıho stupnˇe:

y0 = 1 +a∗b+c+b∗c+a∗b∗c+d+a∗d+a∗b∗d+c∗d+a∗c∗d(3.15)

y1 = 1 +c+a∗b∗c+a∗d+a∗c∗d (3.16)

y2 = 1 +a+c+a∗b∗c+a∗b∗d+c∗d (3.17)

y3 = a+b+c+a∗b∗c+b∗c∗d (3.18)

kde a = x0 je prvn´ı vstupn´ı bit atd., operace + a ∗ jsou definovány v mod-2 aritmetice. A vyjadˇruj´ı jak moc jsou bity výstupu závislé na vstupn´ıch bitech. Pokud má polynom nejvyˇsˇs´ı moˇzný ˇrád, závis´ı výstupn´ı bit na vˇsech vstupech. Pro celý s-box je proto zvolen minimáln´ı ˇrád ze vˇsech polynom˚u vyjadˇruj´ıc´ı výstupy. Jinou moˇznost´ı by mohl být i poˇcet pouˇzitých promˇenných, sˇc´ıtán´ı vˇsak vypov´ıdá o linearitˇe.

3.2.7 Bijektivita

Nˇekteré kryptosystémy8 vyˇzaduj´ı, aby funkce, kterou reprezentuje s-box byla bijektivn´ı – tj. kaˇzdý vstup byl zobrazen na unikátn´ı výstup. ˇCehoˇz lze sice jednoduˇse dosáhnout zakódován´ım problému jako permutace (viz dále), avˇsak pokud je chceme pouˇz´ıt jiný typ re-prezentace, mus´ıme napˇr´ıklad bijektivitu stanovit jako dalˇs´ı kritérium. V [8] je dále zm´ınˇeno omezen´ı skládán´ı bijektivn´ıho s-boxu z booleovských funkc´ı splˇnuj´ıc´ıch MOSAC. Mˇejme bi-jektivn´ı funkcif :{0,1}n_{→ {}_0,₁_}n_{, kaˇ}_zd´_{a line´}_{arn´ı kombinace booleovsk´}_{ych funkc´ı z nichˇ}_z

je sloˇzena mus´ı m´ıt Hammingovu váhu rovnu polovinˇe moˇzných výstupn´ıch kombinac´ı: wt(

n

X

i=1

aifi) = 2n−1 (3.19)

Jinými slovy ˇreˇceno: vˇsechny lineárn´ı odchylky, dle výrazu 2.5 neobsahuj´ıc´ı vstupn´ı bity, mus´ı být nulové.

3.2.8 Dalˇs´ı krit´eria

Mezi dalˇs´ı kritéria, která nebyla dále pouˇzita, patˇr´ı napˇr´ıklad invertibilita funkce f. Nebo napˇr´ıklad kritérium BIC (nezávislost bit˚u) z [12] ˇci

”Cross Correlation of Avalanchne Vari-ables“ z [8]. Obˇe vych´azej´ı z avalanche efektu.

V tabulce3.4jsou jednotlivá pouˇzitá kritéria srovnána. Jsou zde uvedeny mezn´ı hodnoty jednotlivých kritéri´ı. Nˇekteré z nich jsou závislé od poˇctu vstup˚u a výstup˚u. U dvou z nich je hledána minimáln´ı hodnota. Hvˇezdiˇckou jsou oznaˇceny teoretické hodnoty, které nelze prakticky dosáhnout.

(23)

Kritérium uprava´ minimáln´ı hodnota maximáln´ı hodnota druh opti- mali-zace bent skóre poˇcet w jejichˇz

|G(w)|= 1

0 m·2n max

ˇr´ad SAC -1 n−2 max

diferencial probability * ₂1n 1 min

linear bias probability * 0 1 min

ˇr´ad algebraick´eho polynomu 0 n max

branch faktor 0 m+ 1 max

bijektivn´ı skóre obdobné bent skóre

0 m·2n max

Tabulka 3.4: Srovnán´ı jednotlivých kritéri´ı bezpeˇcnosti Vnˇejˇs´ı bity Vnitˇrn´ı 4 bity vstupu

0000 0001 0010 0011 0100 0101 0110 0111 00 0010 1100 0100 0001 0111 1010 1011 0110 01 1110 1011 0010 1100 0100 0111 1101 0001 10 0100 0010 0001 1011 1010 1101 0111 1000 11 1011 1000 1100 0111 0001 1110 0010 1101 1000 1001 1010 1011 1100 1101 1110 1111 00 1000 0101 0011 1111 1101 0000 1110 1001 01 0101 0000 1111 1010 0011 1001 1000 0110 10 1111 1001 1100 0101 0110 0011 0000 1110 11 0110 1111 0000 1001 1010 0100 0101 0011

Tabulka 3.5: DES s-boxS5

3.3 Pˇ

r´ıklady dalˇ

s´ıho uˇ

zit´ı s-box˚

u

S-boxy jsou popsány pro mnoho ˇsifer. Následuj´ı pˇr´ıklady nejznámˇejˇs´ıch z nich:

3.3.1 S-box v DES

U DESu [26] se pouˇz´ıvaj´ı s-boxy 6×4. Dobrým pˇr´ıkladem je s-boxS5uvedený v tabulce3.5: Pro 6-bitový vstup je 4-bitový výstup urˇcen vybrán´ım ˇrádku pouˇzit´ım dvou vnˇejˇs´ıch bit˚u (prvn´ı a posledn´ı), sloupec je urˇcen vnitˇrn´ımi ˇctyˇrmi bity. Napˇr. vstup

”011011“ m´a vnˇejˇs´ı bity

”01“ a vnitˇrn´ı”1101“. Odpov´ıdaj´ıc´ı výstup je”1001“. Osm s-box˚u algoritmu DES bylo pˇred mnoha lety pˇredmˇetem intenzivn´ıho studia s podezˇren´ım na zadn´ı vrátka, zranitelnost známá pouze jeho tv˚urc˚um, která by mohla být um´ıstˇena v ˇsifˇre. Kritéria návrhu s-box˚u byla nakonec zveˇrejnˇena (Don Coppersmith, 1994), po znovuobjeven´ı diferenciáln´ı krypto-analýzy, pˇriˇcemˇz byly peˇclivˇe vylepˇseny v odolnosti v˚uˇci tomuto útoku. Pozdˇejˇs´ı výzkum ukázal, ˇze právˇe tyto malé zmˇeny mohly znaˇcnˇe zeslabit DES.

(24)

3.3.2 S-box v AES

ˇ

Sifra Rijndeal[4,25] pouˇz´ıvá s-boxy ve fázi zvané

”ByteSub“. Zde se jedná o s-boxy 8×8, tj. bajt na bajt. Byl navrˇzen s ohledem na odolnost v˚uˇci lineárn´ı a diferenciáln´ı kryptoanalýze, aby mˇel nejvyˇsˇs´ı stupeˇn polynomu byl invertibiln´ı a jednoduˇse popsatelný. Proto vybrali následuj´ıc´ı afinn´ı transformaci, modulárn´ı násoben´ı následované sˇc´ıtán´ım:

b(x) = (x7+x6+x2+x) +a(x)(x7+x6+x5+x4+ 1) modx8+ 1 (3.20) Pˇriˇcemˇz (b(a)6=a) a (b(a)6= ¯a).

S-boxy v Twofish

Zde [16] pouˇz´ıvaj´ı 8×8 ke konstrukci 8×32. Tyto malé s-boxy urˇceny pomoc´ı náhodného prohledáván´ı, pˇri kterém hledali permutace s LPmax≤ ₁₆1 a DPmax≤ ₂₅₆10.

(25)

Kapitola 4

Evoluˇ

cn´ı algoritmy

Evoluˇcn´ı algoritmy jsou informované metody prohledáván´ı stavového prostoru, které [17] jsou zaloˇzeny na metafoˇre evoluce v pˇr´ırodˇe. ˇReˇsen´ı nˇejaké úlohy je pˇrevedeno na proces evoluce populace náhodnˇe vygenerovaných ˇreˇsen´ı. Kaˇzdé ˇreˇsen´ı je zakódováno do ˇretˇezce symbol˚u (parametr˚u) a ohodnoceno tzv. fitness funkc´ı, která vyjadˇruje kvalitu ˇreˇsen´ı – ˇ

c´ım je hodnota vˇetˇs´ı t´ım je dané ˇreˇsen´ı perspektivnˇejˇs´ı a ˇcastˇeji vstupuje do reprodukˇcn´ıho procesu bˇehem nˇehoˇz jsou generována nová ˇreˇsen´ı. Populace ˇreˇsen´ı se bˇeˇznˇe nazývá populac´ı individu´ı nebo chromozóm˚u. Reprodukˇcn´ı proces je zaloˇzen na dvou hnac´ıch silách:

• variaˇcn´ı operátory kˇr´ıˇzen´ı a mutace, které pˇrináˇsej´ı rozmanitost populace/diverzitu

• selekce, kter´a upˇrednostˇnuje kvalitn´ı jedince

Kombinace variace a selekce pˇrisp´ıvá obecnˇe ke zlepˇsen´ı fitness funkce jedinc˚u v novˇe se tvoˇr´ıc´ı populaci. V procesu kˇr´ıˇzen´ı jedinc˚u, tak jako v ˇzivé pˇr´ırodˇe jsou nová indivi-dua/potomci z´ıskávána kˇr´ıˇzen´ım vˇetˇsinou dvojic rodiˇcovských individu´ı. Vˇsechny kompo-nenty evoluˇcn´ıho procesu jsou stochastické ˇcastˇeji napˇr. vstupuj´ı do reprodukˇcn´ıho procesu páry s lepˇs´ı fitness funkc´ı, ale i slabˇs´ı jedinci maj´ı ˇsanci vstoupit do reprodukˇcn´ıho procesu. Nejprve jsou na nejrozˇs´ıˇrenˇejˇs´ım typu evoluˇcn´ıho algoritmu ukázány základn´ı pojmy. U dalˇs´ıch algoritm˚u jsou uvedeny jiˇz jen odliˇsnosti.

4.1 Genetick´

y algoritmus

Chromozóm (jedinec/individuum) kóduj´ıc´ı ˇreˇsen´ı je reprezentován binárn´ım vektorem (ˇ re-tˇezcem) konstantn´ı délkyn:

~

X = (X0, X1, . . . , Xn−1), kde Xi je i- tou promˇennou ˇretˇezce

~

x= (x0, x1, . . . , xn−1) je ˇretˇezec konkr´etn´ıch instanc´ı promˇenn´ych Xi=xi, xi∈ {0,1}

D= (X1, X2, . . . , XN), Xj ∈Dje mnoˇzinaN ˇretˇezc˚u, kter´a specifikuje populaciD D⊆ {0,1}n_.

Necht’ f je úˇcelová/cenová funkce definovaná nad mnoˇzinou binárn´ıch vektor˚u délky n

(26)

která ohodnot´ı kaˇzdý binárn´ı vektor ~x reálným ˇc´ıslem. C´ılem je nalézt globáln´ı extrém funkcef. V pˇr´ıpadˇe minimalizaˇcn´ı úlohy jde o nalezen´ı vektoru

~

xopt = arg min ~ x∈{0,1}n

f(~x) (4.2)

Funkcef se zpravidla transformuje na funkci výhodnostiF(fitness funkci) tak, aby p˚uvodn´ı optimalizaˇcn´ı úloha byla pˇrevedena na maximalizaˇcn´ı úlohu a bylo dosaˇzeno vhodného mˇeˇr´ıtka fitness funkce. Uˇzit´ı této transformace usnadˇnuje také zmˇenu selekˇcn´ıho tlaku, který výraznˇe ovlivˇnuje konvergenci evoluˇcn´ıho procesu. ˇCinnost standardn´ıho GA algo-ritmu popisuje algoalgo-ritmus4.1.

Algoritmus 4.1(Pseudok´od genetick´eho algoritmu).

Nastavt= 0, n´ahodnˇe generuj poˇc´ateˇcn´ı populaci D(0) s mohutnost´ıN,

whilenen´ı splnˇena podm´ınka pro ukonˇcen´ı algoritmu do

Proved’ ohodnocen´ı jedinc˚u populace D(t) fitness funkc´ıF(X),

Generuj populaci potomk˚u O(t) s mohutnost´ı M ≤ N pouˇzit´ım oper´ator˚u kˇr´ıˇzen´ı a mutace,

Vytvoˇr novou populaciD(t+ 1) nahrazen´ım ˇc´asti populace D(t) jedinci z O(t), Nastavt←t+ 1,

end while

V procesu reprodukce jsou vˇetˇsinou kvazináhodnˇe vyb´ırány dvojice rodiˇcovských je-dinc˚u pro následné kˇr´ıˇzen´ı a mutaci. ˇCást jedinc˚u z populace potomk˚u se potom pouˇzije pro nahrazen´ı jedinc˚u p˚uvodn´ı populace D(t) a takto z´ıskáme novou populaci D(t+ 1). Ukonˇcen´ı evoluˇcn´ıho procesu je bud’ dáno maximáln´ım poˇctem generac´ı nebo detekc´ı stag-nace vývojového procesu. Genetický algoritmus m˚uˇze m´ıt nˇekolik typ˚u kˇr´ıˇzen´ı a mutace. Nˇekteré operátory bývaj´ı navrˇzeny podle typu ˇreˇsené úlohy. Mutace je vˇetˇsinou prove-dena inverz´ı bitu/˚u na náhodných pozic´ıch. Kˇr´ıˇzen´ı m˚uˇze být napˇr´ıklad jednobodové ˇci dvoubodové. Po vybrán´ı dvou rodiˇc˚u se nejprve se zvol´ı bod(y), ve kterém se chromozóm obou rodiˇc˚u rozdˇel´ı na dvˇe ˇcásti. Vznikaj´ı dva potomci. Prvn´ı z nich je sloˇzen z prvn´ı ˇcásti prvn´ıho rodiˇce a z druhé ˇcásti druhého rodiˇce. A chromozóm druhého potomka je poskládán ze zbývaj´ıc´ıch ˇcást´ı. Selekce m˚uˇze prob´ıhat:

• turnajem meziN n´ahodnˇe vybran´ymi jedinci,

• proporcion´alnˇe (pod´ıl fitness jedince na souˇctu fitness vˇsech jedinc˚u) neboli tzv. ruleta

• lineárn´ım uspoˇrádán´ım (pravdˇepodobnost výbˇeru je lineárn´ı funkc´ı pozice po seˇrazen´ı populace podle fitness)

• exponenciáln´ım uspoˇrádán´ım (jako lineárn´ı, leˇc pravdˇepodobnost je závislá expo-nenciálnˇe)

4.2 Genetick´

e programov´

an´ı

(27)

Nej-Genetické operátory pracuj´ı nad spustitelnými strukturami. Kromˇe bˇeˇzných operátor˚u (jako jsou kˇr´ıˇzen´ı a mutace) existuje ˇrada pokroˇcilých operátor˚u umoˇzˇnuj´ıc´ıch gene-rovat programy s podprogramy, moduly atd.

Evaluace V rámci zjiˇstˇen´ı fitness hodnoty je proveden kód kandidátn´ıho programu (obecnˇe spustitelné struktury) pro definovanou mnoˇzinu vstup˚u a jsou vyhodnoceny z´ıskané výsledky.

Zat´ımco v obecném genetickém programován´ı docház´ı k prohledáván´ı v prostoru ˇreˇsen´ı, který se v pr˚ubˇehu evoluce mˇen´ı, v tomto textu se budeme zabývat pouze statickým stavovým prostorem. V genetickém programován´ı lze navrhnout libovolnou spustitelnou strukturu, která nejlépe vystihuje ˇreˇsený problém. A k této struktuˇre navrhnout vlastn´ı operátory.

4.2.1 Kartézské genetické programován´ı

Kartézské genetické programován´ı (CGP) [20] lze chápat jako variantu genetického progra-mován´ı, která v reprezentaci ˇreˇseného problému pouˇz´ıvá acyklický graf s pevným poˇctem uzl˚u. Kaˇzdý z uzl˚u m˚uˇze realizovat jednu z nˇekolika pevnˇe daných funkc´ı a m˚uˇze být spojen na výstup nˇekterého z pˇredeˇslých uzl˚u. Konektivitu ovlivˇnuje tzv. l-back parametr. Chro-mozom je urˇcitá posloupnost celoˇc´ıselných hodnot maj´ıc´ı fixn´ı délku. V tom lze spatˇrovat dˇelen´ı na genotyp a fenotyp jako u klasických GA. Algoritmus pouˇz´ıvaný v CGP odpov´ıdá evoluˇcn´ı strategii (1 +L), kde hodnota L se pohybuje ˇrádovˇe v jednotkách. Pouˇz´ıvá se pouze operátor mutace.

Kódován´ı ˇreˇseného problému

Chromozom je sloˇzen zm·ntrojic (m- poˇcet sloupc˚u,n- poˇcet ˇrad) celoˇc´ıselných hodnot, kde prvn´ı dvˇe hodnoty udávaj´ı ˇc´ıslo výstupu, na který je pˇripojen prvn´ı a druhý vstup trojici pˇr´ısluˇsej´ıc´ıho elementu, tˇret´ı hodnota udává jakou logickou funkci element realizuje. Na konci chromozomu je o-tice o velikosti shodné s poˇctem výstup˚u hledaného obvodu. Kaˇzdý prvek o-tice urˇcuje index elementu (jeho výstupu), na který bude primárn´ı výstup obvodu pˇripojen. Dalˇs´ımi parametry jsoui- poˇcet vstup˚u,l- l-back,F - mnoˇzina funkc´ı.

Uvaˇzujme následuj´ıc´ı tvar chromozomu, odpov´ıdaj´ıc´ı jednoduché booleovské funkci1, splˇnuj´ıc´ı SAC:

{2,1,2,2,2,1,3}([2]1,1,8)([3]0,0,7)([4]1,3,0)([5]3,2,8)(5)

Tvar chromozómu je vysvˇetlen v pˇr´ılozeA. Na obrázku 4.1je tento chromozóm znázornˇen v grafové podobˇe.

Programov´a implementace

Bˇehem [11] generován´ı nových jedinc˚u nebo pˇri mutaci mus´ı být splnˇeno nˇekolik podm´ınek, aby chromozóm reprezentoval správný program. Necht’cnkj reprezentuje genk-tého vstupu

(28)

0 4 8 2 7 3 8 5 0 1 0

Obrázek 4.1: Pˇr´ıklad jednoduché Booleovské funkce splˇnuj´ıc´ı SAC nalezené kartézským genetickým programován´ım

ve sloupcij (nejlevˇejˇs´ı sloupec m´a j= 0), potom mus´ı splˇnovat tato omezen´ı:

ckj < emax pokud j < l (4.3) emin ≤ckj < emax pokud j ≥l (4.4)

emin=i+ (j−l)n (4.5)

emax=i+jn (4.6)

Necht’ cok reprezentuje genk-tého výstupu celého obvodu, pak pro nˇej plat´ı tato omezen´ı:

hmin ≤cok< hmax (4.7)

hmin=i+ (m−l)n (4.8)

hmax=i+ (m−1)n (4.9)

Necht’ cfk reprezentuje gen funkcek-t´eho uzlu, pak:

cfk∈F (4.10)

Z tˇechto podm´ınek je patrná i skuteˇcnost, ˇze realizace kˇr´ıˇzen´ı, pˇri, kterém by bylo nutné dodrˇzet tyto podm´ınky, by byla komplikovanˇejˇs´ı a i proto se radˇeji nepouˇz´ıvá.

4.3 EDA

[17] Bˇehem operace kˇr´ıˇzen´ı klasického genetického algoritmu docház´ı k rozb´ıjen´ı stavebn´ıch blok˚u. Tato skuteˇcnost je ˇcastou pˇr´ıˇcinou ˇspatné konvergence optimalizaˇcn´ıho procesu. Proto byly navrˇzeny algoritmy, které se tento problém snaˇz´ı vyˇreˇsit pomoc´ı globáln´ıho pohledu na celou populaci. V celé populaci jsou spoˇcteny statistiky výskyt˚u a závislost´ı alel na jednotlivých pozic´ıch. Podle tˇechto statistik jsou následnˇe generováni jedinci nov´ı. Tyto algoritmy jsou souhrnnˇe nazývány EDA – Estimation of Distribution Algorithm.

(29)

mnoˇzina potomk˚u O(t) s mohutnost´ı M < N (vzorkován´ım z´ıskaného rozloˇzen´ı). Nová populace D(t+ 1) je vytvoˇrena nahrazen´ım ˇcásti populaceD(t) jedinci z O(t).

Fundamentáln´ım problémem je odhad pravdˇepodobnostn´ıho rozloˇzen´ıp(X|Ds(t)). Z te-orie je znám vztah pro sdruˇzené rozloˇzen´ı pravdˇepodobnosti náhodného vektoru pomoc´ı lokáln´ıch pravdˇepodobnostn´ıch rozloˇzen´ı s vyuˇzit´ım podm´ınˇených pravdˇepodobnost´ı:

p(X) =

n−1

Y

i=0

p(Xi|X0, X1, . . . , Xi−1) (4.11)

A právˇe v tomto výpoˇctu (sloˇzitosti pravdˇepodobnostn´ıho modelu) se EDA algoritmy dˇel´ı na v´ıce druh˚u, které jsou uvedeny n´ıˇze.

4.3.2 UMDA

UMDA (Univariate Marginal Distribution Algorithm) pouˇz´ıvá nejjednoduˇsˇs´ı statistický mo-del. Pˇredpokládá, ˇze lokusy jsou navzájem nezávislé, výskyt allel na kaˇzdé pozici je ˇr´ızen distribuˇcn´ı funkc´ı. Necht’ se populace P o velikosti N skládá z chromozom˚u délky n. Pro kaˇzdý lokus i∈ {0..n−1}a kaˇzdou alleluxi∈ {0, . . . , ri−1} definujemepi(xi) jako ˇcetnost

výskytu ˇretˇezc˚u, které maj´ıxi na i-té pozici v mnoˇzinˇe P.

pi(xi) =

ni(xi)

N (4.12)

Pravdˇepodobnost, se kterou bude vygenerován algoritmem UMDA nový jedinec X = a1a2. . . an−1 pak mus´ı být p(X) = n−1 Y i=0 pi(ai) (4.13)

Tedy nejprve jsou z populace slibných ˇreˇsen´ı na kaˇzdé pozici vypoˇc´ıtány ˇcetnosti r˚uzných allel, poté je pro kaˇzdé nové individuum bit na i-té pozici nastaven na hodnotu a s prav-dˇepodobnost´ıpi(a). Graf závislosti odpov´ıdaj´ıc´ı UMDA algoritmu neobsahuje ˇzádné hrany

(E =∅).

4.3.3 BMDA

Kromˇe nezávislých lokus˚u algoritmus BMDA (Bivariate Marginal Distribution Algorithm) pˇripouˇst´ı i podvojné závislosti mezi lokusy, které jsou zjiˇst’ovány statistickými testy. Pro generován´ı hodnot na závislých pozic´ıch je vyuˇz´ıván aparát podm´ınˇené pravdˇepodobnosti. Opˇet uvaˇzujeme populaci P o velikosti N s chromozomy délky n. Pro kaˇzdé dvˇe pozice i6=j ∈ {0..n−1}a kaˇzdé dvˇe moˇzné allely xi ∈ {0, . . . , ri−1},xj ∈ {0, . . . , rj−1}na tˇechto pozic´ıch definujemepi,j(xi, xj) jako ˇcetnost výskytu ˇretˇezc˚u s hodnotamixiaxjna pozic´ıch

ia j:

pi,j =

ni,j(i, j)

N (4.14)

Podm´ınˇen´a pravdˇepodobnost

pi,j(xi|xj) =

pi,j(xi, xj)

pj(xj)

(4.15) je pak odhadov´ana z ˇcetnosti v´yskytu allely xi na pozici i v pˇr´ıpadech, kdy je xj na

(30)

gen je závislý maximálnˇe na jednom jiném genu. Nˇekteré skupiny gen˚u mohou být zcela nezávislé, pak má graf podobu mnoˇziny strom˚u. Pravdˇepodobnost generován´ı jedinceX = a1a2. . . an−1 pak je p(X) = Y j∈R p(aj) Y (i,j)∈E p(aj|ai) (4.16)

kdeR resp. E je mnoˇzina koˇrenových uzl˚u (tedy nezávislé promˇenné) resp. hran grafu G. K testován´ı nezávislosti kvalitativn´ıch znak˚u se ve statistice pouˇz´ıvá rozdˇelen´ıχ2

χ2 =Xreal value−expected value

expected value (4.17)

V naˇsem pˇr´ıpadˇe se jedná o testován´ı nezávislosti obsah˚u dvou lokus˚u:

χ2_i,j = ri−1 X xi=0 rj−1 X xj=0 (N pi,j(xi, xj)−N pi(xi)pj(xj))2 N pi(xi)pj(xj) (4.18)

kde ri je poˇcet r˚uzných allel na lokusu i, rj poˇcet r˚uzných allel na lokusu j (u binárn´ıch

chromozom˚u r = s = 2). Tento vzorec vycház´ı z pˇredpokladu, ˇze pro výskyt hodnot na nezávislých pozic´ıch mus´ı podle teorie pravdˇepodobnosti platit pi,j(xi, xj) = pi(xi)pj(xj).

Pro vˇsechny dvojice lokus˚u jsou pˇri pr˚uchodu populac´ı sestaveny kontingenˇcn´ı tabulky. S pomoc´ı tˇechto tabulek je pak pomoc´ıχ2-testu vytvoˇrena mnoˇzina závislých dvojic, která je uspoˇrádána podle hodnoty χ2. Dva binárn´ı lokusy jsou závislé na 95%, pokud hodnota χ2 je vˇetˇs´ı neˇz 3,84. Z mnoˇziny závislých dvojic je utvoˇren strom závislost´ı, který je pak pouˇzit ke generován´ı nových jedinc˚u.

Dalˇs´ı varianty EDA algoritm˚u (napˇr. BOA) z d˚uvod˚u uveden´ych n´ıˇze nebyly pouˇzity.

4.4 Multikriteri´

aln´ı optimalizace

´

Uloha hledán´ı s-box˚u m˚uˇze být zaloˇzena na v´ıce kritéri´ıch, které mohou j´ıt proti sobˇe. V mul-tikriteriáln´ı optimalizaci nehledáme prosté optimum jako v jednokriteriáln´ı, ale snaˇz´ıme se naj´ıt vhodný kompromis pˇri optimalizaci jednotlivých kritéri´ı. Formálnˇe tedy hledáme vek-tor parametr˚u~x∗= [x∗₁, x∗₂, . . . , x∗_n]T _kter´_y:

• splˇnuje m omezen´ı:gi(~x)≤0, i= 1,2, . . . , m

• splˇnuje p omezen´ı:hi(~x) = 0, i= 1,2, . . . , p

• bude optimalizovat funkci:f(~x) = (f1(~x), f2(~x), . . . , fp(~x))

Z toho d˚uvodu bylo tˇreba tento probl´em zahrnout do evoluˇcn´ıch algoritm˚u. K tomuto ´uˇcelu bylo navrˇzeno nˇekolik postup˚u.

4.4.1 Pareto optimum

(31)

• Vektor~apak slabˇe dominuje nad~b, kdyˇz plat´ı pouze prvn´ı podm´ınka

• Na z´akladˇe Pareto dominance lze definovat pojem

”Pareto Optimum“: Vektor~a je Pareto optimáln´ı pokud neexistuje ˇzádný vektor~btakový, který dominuje vektoru~a. Jinými slovy: vektor~aje Pareto optimáln´ı, pokud v rozhodovac´ım prostoru neexistuje ˇzádný vektor~b, který by sn´ıˇzil nˇejaké kritérium bez toho, aniˇz by zp˚usobil soubˇeˇzné zvýˇsen´ı alespoˇn jednoho dalˇs´ıho kritéria.

• Tento koncept nám ale nedává jen jediné ˇreˇsen´ı, ale vˇetˇsinou celou mnoˇzinu ˇreˇsen´ı, tzv. Pareto optimáln´ı mnoˇzinu ˇreˇsen´ı (Pareto optimalset).

• Vektory ~a, které jsou i v Pareto optimáln´ı mnoˇzinˇe (POS) jsou nazývány nedo-minantn´ımi. Kˇrivka/hyperplocha vedená tˇemito nedominantn´ımi vektory z POS se nazývá Paretova fronta.

• Reˇˇ sen´ım MOP je pak libovoln´y bod z Paretovy fronty

4.4.2 Algoritmus VEGA

VEGA je nejjednoduˇsˇs´ı moˇzný multikriteriáln´ı GA. Pro nˇekolik kritéri´ı (znaˇc´ımeM) mus´ı být ˇr´ızeno dˇelen´ı GA populace v kaˇzdé generaci doM stejných podskupin náhodnˇe. Kaˇzdé podskupinˇe je pˇridˇelena fitness funkce zaloˇzená na kriteriáln´ı funkci, odliˇsné pro kaˇzdou podskupinu. Populace je v kaˇzdé generaci rozdˇelena na M stejných d´ıl˚u. Kaˇzdému jedinci v prvn´ı podskupinˇe je pˇridˇelena fitness funkce zaloˇzená jen na prvn´ı kriteriáln´ı funkci, zat´ımco kaˇzdému jedinci ve druhé podskupinˇe je pˇridˇelena fitness funkce podle druhé kri-teriáln´ı funkce, a tak dále. Je lepˇs´ı prom´ıchat populac´ı pˇredt´ım, neˇz je rozdˇelena do pod-skupin. Pro kaˇzdé ˇreˇsen´ı je pˇridˇelená fitness funkce, výbˇerový operátor, vyhrazený mezi ˇreˇsen´ımi kaˇzdé podskupiny. Výbˇerový operátor je aplikován do té doby, neˇz je kompletn´ı podskupina naplnˇena. Od té chv´ıle maj´ı vˇsichni jedinci v podskupinˇe pˇridˇelené fitness funkce zaloˇzené na jednotlivé kriteriáln´ı funkci. Ta omezuje operaci výbˇeru jen uvnitˇr podskupiny a zd˚urazˇnuje dobrá ˇreˇsen´ı odpov´ıdaj´ıc´ı té které jednotlivé kriteriáln´ı funkci. Ve VEGA je v podpopulac´ıch vyuˇz´ıván proporcionáln´ı výbˇerový operátor.

4.4.3 Algoritmus SPEA

Tento algoritmus [17,19] udrˇzuje extern´ı elitn´ı populaciPe. Tato populace obsahuje pevn´e

mnoˇzstv´ı nedominovaných ˇreˇsen´ı, které byli nalezeny od zaˇcátku evoluce. V kaˇzdé generaci jsou novˇe nalezená nedominovaná ˇreˇsen´ı srovnávána s existuj´ıc´ı extern´ı populac´ı a výsledné nedominuj´ıc´ı ˇreˇsen´ı jsou uchována. SPEA dˇelá v´ıce, neˇz jen uchovává elitu. Také uˇz´ıvá tuto elitu k úˇcasti na genetických operac´ıch spolu s nynˇejˇs´ı populac´ı.

Tento algoritmus zaˇc´ıná s náhodnˇe vytvoˇrenou populac´ıP0velikostiNa prázdná extern´ı populace P0e s maximáln´ı kapacitou Ne. V kaˇzdé generaci t, jsou nejlepˇs´ı nedominovaná

ˇreˇsen´ı (patˇr´ıc´ı prvn´ı nedominovan´e frontˇe) z populace Pt kop´ırov´ana do extern´ı populace

Pte. Dominovaná ˇreˇsen´ı v upravené extern´ı populaci jsou nalezena a odstranˇena z této

po-pulace. V extern´ı populaci z˚ustávaj´ı nejlepˇs´ı nedominovaná ˇreˇsen´ı kombinované populace obsahuj´ıc´ı staré a nové elity. Za úˇcelem omezen´ı pˇrer˚ustán´ı populace, je velikost extern´ı po-pulace vázána na limitNe. Pokud velikost populace je rovná velikosti extern´ı populace, jsou

vˇsechna ˇreˇsen´ı obsaˇzena i v extern´ı populaci. Nicménˇe, pokud velikost populace pˇrekraˇcuje Ne, ne vˇsechny elity mohou být um´ıstˇeny v extern´ı populaci. Elitn´ı jedinci, kteˇr´ı jsou v ménˇe

(32)

pˇreplnˇených regionech v nedominované frontˇe, jsou uloˇzeni. Jakmile jsou nové elity ucho-vané pro dalˇs´ı generaci, algoritmus se obrát´ı na nynˇejˇs´ı populaci a za vyuˇzit´ı genetických operátor˚u, nalezne populaci novou. Prvn´ı krok je pˇriˇradit fitness ke kaˇzdému ˇreˇsen´ı v po-pulaci (i extern´ı). Ve skuteˇcnosti se v algoritmu SPEA nejprve pˇridˇeluje fitness (s´ıla)Si ke

kaˇzdému ˇclenuiz extern´ı populace. S´ılaSi je úmˇerná poˇctu nynˇejˇs´ıch ˇclen˚u populace (ni),

kteˇr´ı extern´ımu ˇreˇsen´ıi dominuj´ı:

Si =

ni

N + 1 (4.19)

T´ım je zajiˇstˇeno, ˇze vˇetˇs´ı s´ılu má elita, která ovládá v´ıce ˇreˇsen´ı v aktuáln´ı populaci. Dˇelen´ı hodnotou (N+ 1) zabezpeˇc´ı, ˇze maximáln´ı hodnota s´ıly libovolného ˇclenu extern´ı populace bude vˇzdy menˇs´ı neˇzli 1. Nav´ıc, nedominované ˇreˇsen´ı dominuj´ıc´ı nad menˇs´ımi ˇreˇsen´ımi má lepˇs´ı fitness. Fitness nynˇejˇs´ıho ˇclena populace j je urˇcena jako suma sil vˇsech extern´ıch ˇ

clen˚u, kter´e silnˇe2 dominuj´ı ˇreˇsen´ıj:

Fj = 1 +

X

i∈Pte∧i≤j

Si (4.20)

Pˇridán´ı jedniˇcky dˇelá hodnotu fitness libovolného nynˇejˇs´ıho ˇclena populace Pt vˇetˇs´ı neˇz

hodnotu fitness jakéhokoliv extern´ıho ˇclena populacePte. Extern´ı ˇclenové populace z´ıskávaj´ı

menˇs´ı fitness hodnoty neˇz ˇclenové nové populace. ˇClenové populace, kteˇr´ı jsou dominováni mnoha extern´ımi ˇcleny, dostanou velkou fitness hodnotu. Proto se pˇri selekci nad obˇema populacemi se preferuj´ı menˇs´ı hodnoty (tzv. minimalizace). Obˇe populace jsou pak pouˇzity jako celek pˇri kˇr´ıˇzen´ı a mutaci.

Shlukov´an´ı

Algoritmus seskupov´an´ı redukuje velikost extern´ı populace Pte velikosti z N0e na Ne (kde

N0e> Ne). Zpoˇcátku je kaˇzdé ˇreˇsen´ı vPte povaˇzované za jedno ˇreˇsen´ı v jednom oddˇeleném

shluku. Takˇze je v extern´ı populaci zpoˇcátkuN0eshluk˚u. Následnˇe jsou vypoˇc´ıtány vzd´

ale-nosti mezi jednotlivými páry shluk˚u. Obvykle, vzdálenost d12 mezi dvˇema shluky C1 aC2 je definována jako pr˚umˇer euklidovské vzdálenosti vˇsech pár˚u ˇreˇsen´ı :

d12= P i∈C1,j∈C2 d(i, j) |C1||C2| (4.21) Jakmile jsou vypoˇc´ıtány vˇsechny shluky, jsou dva shluky s minimáln´ı vzdálenost´ı sdruˇzené dohromady a spoleˇcnˇe tvoˇr´ı jeden vˇetˇs´ı shluk. Tento proces sluˇcován´ı pokraˇcuje dokud poˇcet shluk˚u v extern´ı populaci nen´ı sn´ıˇzen na velikostNe. Potom se v kaˇzdém shluku ponechá

jen ˇreˇsen´ı s minimáln´ı pr˚umˇernou vzdálenost´ı od dalˇs´ıch ˇreˇsen´ı v shluku, a vˇsechna dalˇs´ı ˇreˇsen´ı jsou vymazána.

V tabulce 4.2jsou oba algoritmy shrnuty. Zat´ımco VEGA v´ıce stran´ı jednomu krit´eriu, SPEA se snaˇz´ı naj´ıt ˇsirˇs´ı spektrum ˇreˇsen´ı.

2