Estado del arte de los mecanismos de cambio de llaves en esquemas de cifrado en bloque

Almeida Echevarria, Daymé; Rodríguez Aulet, Ramses; Domínguez Fiallo, Ernesto; Almeida Echevarria, Daymé; Rodríguez Aulet, Ramses; Domínguez Fiallo, Ernesto

Mi SciELO

Servicios personalizados

Servicios Personalizados

Articulo

Enviar articulo por email

Indicadores

Citado por SciELO

Links relacionados

Similares en SciELO

Otros
Otros

Permalink

Revista Cubana de Ciencias Informáticas

versión On-line ISSN 2227-1899

RCCI vol.16 no.4 La Habana oct.-dic. 2022 Epub 01-Dic-2023

Artículos de revisio´n

Estado del arte de los mecanismos de cambio de llaves en esquemas de cifrado en bloque

State of art of re-keying mechanisms in block cipher schemes

0000-0002-7573-4637Daymé Almeida Echevarria¹^*, 0000-0001-7653-324XRamses Rodríguez Aulet¹, 0000-0003-3831-2889Ernesto Domínguez Fiallo¹

^¹Instituto de Criptografía, Universidad de La Habana.

Resumen

En Criptografía, la cantidad de datos permitidos a cifrar con una sola llave en un algoritmo o esquema de cifrado es conocida como tiempo de vida de la llave. Esta cantidad debe ser limitada, ya que la probabilidad de e´xito durante la realizacio´n de ataques específicos aumenta con la obtencio´n de un mayor nu´mero de datos cifrados, lo cual conlleva al cambio frecuente de las mismas. Para evitar estos cambios regulares de llaves han surgido nuevas variantes en el caso de esquemas sime´tricos de cifrado en bloque que extienden el tiempo de vida y que son conocidos en la literatura como mecanismos de cambio de llave externos, internos y frescos, dependiendo de donde usados, ya que trabajan a nivel de protocolos, modos de operacio´n o en el propio

algoritmo de cifrado. En este trabajo se realizo´ una revisio´n bibliogra´fica sobre el estado del arte de cada

una de las variantes teniendo en cuenta el funcionamiento general de cada uno de ellos, sus características principales, los disen˜os ma´s recientes, la seguridad que aportan al cifrado y su aporte al tiempo de vida de las llaves. Los resultados de la revisio´n muestran las ventajas de uso de cada uno de estos mecanismos.

Palabras-clave: Mecanismos de cambio de llave; algoritmos de cifrado en bloque; cambios de llave internos; cambios de llave externos; cambios de llave frescos

Abstract

In Cryptography, the amount of data allowed to be encrypted with a single key in an algorithm or encryption scheme is known as the lifetime of the key. This amount must be limited, since the probability of success during the execution of specific attacks increases with the obtaining of a greater number of encrypted data, which leads to their frequent change. To avoid these regular key changes, new variants have emerged in the case of symmetric block cipher schemes that extend the lifetime and are known in the literature as external key change mechanisms, internal and fresh key change mechanisms, depending on where they are used, since they work at the level of protocols, modes of operation or in the encryption algorithm itself. In this work, a bibliographic review was carried out on the state of the art of each of the variants, taking into account the general operation of each one of them, their main characteristics, the most recent designs, the security they provide to encryption and their contribution to encryption key lifetime. The results of the review show the advantages of using each of these mechanisms.

Key words: Rekeying mechanisms; Block cipher algorithms; internal re-keying; external re-keying; fresh re- keying

Introduccio´n

El uso de redes informa´ticas, el internet de las cosas y la nube se hace cada vez ma´s extenso y necesario para la vida de las personas, sin embargo, esto trae consigo la exposicio´n de datos personales de los ciudadanos a veces sin la proteccio´n adecuada, por ello, la Criptografía, como ciencia dedicada a la proteccio´n de la informacio´n, ha ganado un mayor espacio en los momentos actuales.

La bu´squeda y disen˜o de protocolos y algoritmos ajustados a cada entorno con las mismas garantías de eficiencia y ma´s seguridad, es una prioridad para los investigadores de la especialidad, sin embargo, esta garantía en el caso de los algoritmos criptogra´ficos radica en el secreto de la llave. En la actualidad el uso creciente de ataques dirigidos a vulnerar la seguridad de estos algoritmos o esquemas de proteccio´n criptogra´ficos deviene, en que los usuarios de las redes deban guardar o memorizar un gran nu´mero de llaves que deben ser cambiadas regularmente, de ahí que la bu´squeda de mecanismos que extiendan el tiempo de vida de las mismas sea una de las líneas de investigacio´n ma´s importantes.

En Criptografía la informacio´n a cifrar es conocida como texto claro o mensaje y para el cifrado de estos son usados algoritmos asime´tricos o sime´tricos en dependencia del uso de la llave. Durante el cifrado de un mensaje con un algoritmo sime´trico de cifrado en bloque se recorren los valores de la permutacio´n determinada de forma univoca por la llave secreta, luego, si la cantidad de bloques determinada por la longitud del mensaje sobrepasa su tiempo de vida, su seguridad se ve afectada seriamente, obliga´ndonos a realizar un cambio de llave para evitar comprometimientos, ya que, a partir de la obtencio´n de una mayor cantidad de informacio´n cifrada con una llave, aumentan las probabilidades de e´xito de disímiles ataques a los sistemas.

Dada la importancia que reviste la proteccio´n de las llaves de cifrado, así como, aumentar la vida u´til de la mismas, este trabajo fue realizado con el objetivo de encontrar en la literatura, diferentes mecanismos usados para incrementar su tiempo de vida, brindar una descripcio´n detallada de estos, su funcionamiento general, características principales, disen˜os ma´s recientes, así como, la seguridad que aportan al cifrado.

Las te´cnicas ma´s usadas encontradas en la literatura pu´blica son conocidas como Mecanismos de cambios de llave o de re-keying, internos, externos y frescos (^{Medwed et al., 2010}; ^{Abdalla and Bellare, 2000}; Akhmetz-yanova et al., 2017). Los mecanismos internos de cambio de llave son utilizados para cifrar grandes cantidades de informacio´n mediante un modo de operacio´n determinado, con la peculiaridad de que, cada cierta cantidad de bloques procesados, una nueva llave es utilizada para procesar los siguientes bloques del mensaje. Este nuevo enfoque, estudiado y popularizado en los u´ltimos an˜os, garantiza la seguridad del cifrado cuando el mensaje es muy largo, cambiando la llave de forma perio´dica.

Los mecanismos externos son utilizados a nivel de protocolos, con la peculiaridad, de que el cambio de llave se realiza una vez cifrados una cierta cantidad de mensajes, cuya longitud no sobrepasa su tiempo de vida, por lo que es una variante muy u´til durante el cifrado de varios mensajes de corta longitud.

En el caso particular de los mecanismos frescos, estos surgen como una variante para evitar ataques de canal colateral en dispositivos de peso ligero, realizando el cifrado de cada mensaje con una llave diferente cada vez, por lo que afecta la estructura del cifrado de bloque usado, al generarse una permutacio´n diferente para cada llave.

Estos mecanismos de extensio´n del tiempo de vida de la llaves han surgido tambie´n como alternativa para optimizar la seguridad en otros entornos como son: disen˜o de modos de autenticado (^{Khairallah, 2019}; ^{Dini and Savino, 2011}), internet de las cosas (^{Mugal et al., 2019}), redes inala´mbricas de baja potencia (Dini and Savino, 2011) e inclusive, en el disen˜o e implementacio´n de sistemas de almacenamiento (^{Qin et al., 2017}). Este trabajo estará dividido en tres sesiones, donde se explicará el funcionamiento de cada mecanismo de re- keying. Primero, comenzamos con la descripcio´n de los mecanismos de cambio de llave frescos y el entorno donde son aplicados, para que el lector pueda comprender porque su funcionamiento general es aplicable a tales dispositivos, por ende, se define el te´rmino: dispositivo de peso ligero. Se realiza tambie´n un ana´lisis del estado del arte de las u´ltimas propuestas de este mecanismo y la tendencia actual.

El segundo apartado se dedica a los mecanismos de re-keying externos y de igual manera se explica a modo general lo que se define y entiende en la literatura como protocolos criptogra´ficos, entorno donde es aplicada esta variante, su funcionamiento general y los disen˜os expuestos por los investigadores de esta a´rea. La tercera sesio´n está dedicada a los mecanismos internos, el estado del arte de los mismos y su aplicacio´n en modos de operacio´n de algoritmos de cifrado en bloque. Igualmente se explica el funcionamiento general y su ganancia de seguridad en relacio´n al tiempo de vida de las llaves. Para finalizar, se realiza un ana´lisis comparativo de las tres variantes en la sesio´n Resultados y discusio´n.

Mecanismos frescos

El disen˜o de algoritmos aplicables a dispositivos de peso ligero es una de las líneas de investigacio´n ma´s atractiva en la actualidad, por el amplio uso de los mismos en la vida diaria, lo que ha llevado al estudio de su proteccio´n y en particular al uso de la criptografía de peso ligero como medida para aumentar su seguridad y proteccio´n, en particular, contra ataques de canal colateral. Estos dispositivos se caracterizan por tener limitadas propiedades como: conectividad, memoria, CPU, latencia, suministro de energía y otras. Entre los ma´s comunes se pueden encontrar etiquetas RFID (Dispositivos de Identificacio´n de radio frecuencias), redes de sensores inala´mbricos, controladores industriales y dispositivos embebidos. En otras palabras, se trata de dispositivos sencillos, baratos y poco glamurosos. Sus características esenciales es que utilizan micro controla- dores de 4, 8 o 16 bits, sus memorias RAM rondan sobre los 64 bytes e incluso tan solo 16 bytes. Sus conjuntos de instrucciones son muy reducidos y algunos como las etiquetas RFID no tienen batería y se alimentan de la energía electromagne´tica transmitida por el propio lector al acercarlo o bien sus baterías pueden remplazar- se con facilidad como en el caso de los marcapasos. No todos ellos necesitan proteccio´n criptogra´fica, pero en algunas aplicaciones se requerirá proteger los datos en reposo o en tra´nsito y es aquí donde interviene la criptografía de peso ligero.

Esta línea de investigacio´n trae consigo el disen˜o e implementacio´n de algoritmos criptogra´ficos que a pesar de tener entre sus ganancias el consumo de espacio, velocidad u otras propiedades tambie´n hacen que su seguridad sea ma´s de´bil, de ahí el auge de ataques de canal colateral aplicable a tales dispositivos. Muchas son las contramedidas encontradas para prevenir estos ataques como son el Ana´lisis de potencia simple SPA o Ana´lisis de potencia diferencial DPA y entre las ma´s comunes podemos encontrar las te´cnicas de enmascaramiento y el hiding.

El cambio de llave fresco es otra de estas contramedidas, disen˜ada como alternativa para proteger etiquetas de RFID y otros dispositivos de bajo costo y fue propuesto por primera vez en (^{Medwed et al., 2010}) como una solucio´n que provee mejores cotas de seguridad que las contramedidas descritas hasta esa fecha ante ataques de fallo y ataques de potencia simple y diferencial. Este esquema fue disen˜ado para protocolos de respuesta- desafío usados para autenticar tags o microcircuitos de RF baratos incluidos en los dispositivos, capaces de permitir la identificacio´n de objetos o sujetos fuera de la línea de visio´n (non-line-of-sight) conocido como RFID.

El esquema de cambio de llave fresco contiene una funcio´n de cifrado E para cifrar cada desafío o bloque de mensaje X con una llave de sesio´n fresca o reciente. La llave de sesio´n K ^∗ es obtenida con la ayuda de una funcio´n g dependiente de la llave maestra K y un nonce pu´blico r como entrada. Los autores en (^{Medwed et al., 2010}) piden como principales exigencias para que este mecanismo sea seguro que la funcio´n E sea segura contra SPA y la funcio´n g contra ambos ataques: SPA y DPA, aunque, en el desarrollo de este mismo artículo proponen condiciones que debe cumplir la funcio´n g motivadas por la combinacio´n de aspectos de la seguridad contra ataques de canal colateral y aspectos de implementacio´n en hardware. El uso de llaves diferentes para cada bloque o desafío que es cifrado hace que los ana´lisis de seguridad desde la seguridad demostrable o probabilística de estos esquemas sean complicados al generarse para cada llave una permutacio´n diferente para el cifrado. En la figura 1 se puede ver una representacio´n del mecanismo de cambio de llave fresco.

Desde el punto de vista criptogra´fico las mejores opciones para la funcio´n g son una funcio´n resumen u otro algoritmo de cifrado en bloque, sin embargo, proteger estos algoritmos sería tan costoso como proteger la misma funcio´n E , en contraste, desde el punto de vista ingenieril, una funcio´n de suma Xor sería lo mejor, de hecho, esta funcio´n cumple con casi todos los requisitos antes expuestos, pero su difusio´n es muy pobre, de aquí que los autores en (^{Medwed et al., 2010}) hayan elegido multiplicacio´n modular y definan la funcio´n g como:

g: (GF(2⁸)[y]/p(y))² −→ GF(2⁸)[y]/p(y) tal que (k, r) → k ∗ r(1)

En (Medwed et al.) proponen extender este esquema a n partes con bajo costo y muestran que todavía en este escenario permanece seguro, sin embargo, en (^{Dobraunig et al., 2014}) se presenta un ataque gene´rico de texto claro escogido para recuperar la llave sobre ambos esquemas, basado en dos observaciones, la primera es que detectar colisiones en las llaves con un mismo texto claro es fa´cil y la segunda es la posibilidad de obtener la llave de sesio´n con una simple estrategia de tiempo-memoria trade-off. A partir de las observaciones anteriores los autores proponen una nueva condicio´n para la funcio´n de cambio de llave y es que esta sea difícil de invertir, en otras palabras, que sea difícil obtener la llave maestra de la llave de sesio´n y el nonce.

A partir del trabajo de Medwed otros autores se proponen buscar nuevas alternativas para la funcio´n g, en 2013 en (^{Abdalla et al., 2013}) los autores proponen como variante un esquema de cifrado sime´trico resistente a fugas que usa un esquema de cambio de llave resistente a fugas con una prueba de seguridad asociada, usando como algoritmo de cifrado en bloque al AES (^{Daemen and Rijmen, 2001}, 2020) y como esquema de cambio de llave una estructura de datos tipo Skip-list propuesto en los an˜os 80.

En (Bela¨ıd et al., 2014) se realiza un ana´lisis sobre la seguridad de los esquemas resistentes a fugas, imple- mentados en dispositivos de peso ligero desde tres niveles diferentes, a nivel de algoritmo, en la funcio´n de cambio de llave y a nivel estructural, este u´ltimo teniendo en cuenta las debilidades reales de fuga acordes al modelo de fuga basado en la Distancia de Hamming que puedan darse por la implementacio´n. A partir de estos ana´lisis se realizan evaluaciones sobre las componentes específicas de los cifrados de bloque, como son taman˜o de las S-cajas y criterios a cumplir por las permutaciones. Como resultado de este artículo los autores proponen una nueva construccio´n.

A pesar de que el uso de mecanismos de re-keying frescos sea una variante prometedora para la proteccio´n de dispositivos de peso ligero muchos investigadores se han volcado a penetrar estas garantías de seguridad evidentes o a buscar mejores variantes.

En (^{Dobraunig et al., 2015}) por ejemplo se analizan modificaciones para mitigar los ataques realizados a los esquemas de cambio de llave frescos sugeridos en (^{Medwed et al., 2010}; Medwed et al.) y se propone como variante el uso de algoritmos de cifrados en bloque basados en tweak como alternativa ma´s eficiente y con mayor seguridad CPA (Chosen Plaintext Attack). Otras variantes para evitar ataques de canal colateral donde son consideradas la inclusio´n de valores tweak, no solo en el algoritmo de cifrado en bloque, sino tambie´n en el mensaje, se pueden encontrar en los trabajos (^{Baksi et al., 2018}; ^{Avraham et al., 2012}). En (^{Guo and Johansson, 2019}) se presenta una nueva variante de ataque de tipo cumplean˜os sobre la base de una reduccio´n ma´s refinada con un polinomio reducible al anillo LPN (Learning Parity with Noise problem) disminuyendo el tiempo de complejidad en el modelo de fuga de 128 bits. Otras variantes de esquemas propuestos y ana´lisis de su seguridad se pueden encontrar en los trabajos (^{Vuppala et al., 2019}; ^{Musale and Chaudhari, 2019}), donde son combinados los mecanismos de re-keyind con otras te´cnicas como el enmascaramiento.

Entre los resultados ma´s recientes presentado por Bart ^{Mennink en (Mennink, 2020}) se encuentra la propuesta de 3 soluciones generalizadas para re-keying de cifrados en bloque paralelos que superan las cotas del cumplean˜os para bloques de taman˜o n. La primera propuesta de solucio´n implica, luego de la generacio´n de la subllave, una multiplicacio´n y llamadas al nu´cleo del algoritmo de cifrado en bloque, obtenie´ndose una seguridad de 23 . La segunda variante hace dos llamadas al cifrado de bloque y alcanza el o´ptimo de seguridad de 2ⁿ . Finalmente, la tercera solucio´n utiliza una funcio´n de generacio´n de subllaves un poco ma´s grande que no requiere adaptaciones en el nu´cleo de cifrado y tambie´n alcanza una seguridad o´ptima. En el mismo trabajo se construyen adema´s usando este esquema de cambio de llave tres modos de autenticado resistentes a ataques de canal colateral que tambie´n alcanzan las cotas del cumplean˜os.

Un elemento importante en este artículo es que el autor tiene en cuenta la composicio´n de mecanismos de cambio de llave y cifrados de bloques que usan tweat teniendo en cuenta la tendencia desarrollada en la literatura por el uso de estos algoritmos dada la seguridad que proveen. Ejemplo de algoritmos y modos que usan tweat para an˜adir seguridad podemos encontrarlos en (^{Chakraborti et al., 2021}; ^{Maram et al., 2022}; ^{Chakraborty and Kundu, 2022}) ambos modos disen˜ados para lograr autenticacio´n.

Mecanismos externos

El enfoque externo es realizado a nivel de protocolo y es independiente del subyacente cifrado en bloque y modo de operacio´n. Un protocolo criptogra´fico es el conjunto de acciones coordinadas que realizan dos o ma´s partes o entidades con el objeto de llevar a cabo un intercambio de datos o informacio´n usando para ello algoritmos y me´todos criptogra´ficos permitiendo dar solucio´n a distintos problemas de la vida real, especialmente donde puede existir un grado de desconfianza entre las partes. Ejemplos cla´sicos de protocolos criptogra´ficos son los conocidos Protocolo TLS usado en la mayoría de los casos en conexiones web seguras (HTTPS), protocolo Diffie-Hellman para intercambio de llave y Kerberos para establecimiento de llaves y secreto compartido.

Para el trabajo a este nivel, los mecanismos externos asumen que la llave es transformada despue´s de cifrar un nu´mero limitado de mensajes completos y es recomendado en protocolos que tienen una forma adecuada de dividir un mensaje largo en varias partes. A partir de este enfoque el nu´mero de mensajes que pueden ser procesados de forma segura con una llave K se incrementa sustancialmente siguiendo la idea presentada en la figura 2.

Para este tipo de mecanismo se pueden usar dos tipos de construcciones para el procesamiento de las llaves, el enfoque paralelo o en serie, en el primer caso el procesamiento de datos de las llaves es generado directamente de la llave inicial y son independientes unas de otras y en el caso seriado, las llaves dependen del estado que es actualizado despue´s de la generacio´n de cada llave. Otro enfoque del cambio de llave externo visto como una generalizacio´n del enfoque paralelo externo es el mecanismo basado en a´rboles.

Para obtener un esquema de re-keying externo se deben vincular un esquema de cifrado base, un generador y el tiempo de vida de la llave, de esta manera, dado un esquema de cifrado sime´trico con sus respectivos algoritmos de generacio´n de llaves, cifrado y descifrado S E = (K_e , E , D ) y G = (K_g , N ) un generador stateful con taman˜o de bloque k, donde k es el taman˜o de la llave del esquema base y l > 0 el tiempo de vida de la subllave, obtenemos entonces un esquema de cifrado extendido de la forma S E [S E , G , l] = (K, E , D ).

En los trabajos (^{Abdalla and Bellare, 2000}, 2021) se propone un teorema para medir la seguridad de los mecanismos externos haciendo uso de las nociones de seguridad de Indistinguibilidad Izquierda-Derecha definida en (Bellare et al., 1997) para los esquemas de cifrado sime´tricos:

Teorema 1

Dado S E un esquema de cifrado base con taman˜o de llave k, G un generador stateful con taman˜o de bloque k y l > 0 el tiempo de vida de la subllave y dado S E = S E [S E , G , l] el esquema de cifrado extendido con cambio de llave asociado, entonces

Adv^ind−cpa(t, ln, m) ≤ Adv^prg (t) + n · Adv^ind−cpa(t, l, m)

S E G,n S E

La interpretacio´n cualitativa de este teorema, es que si el generador y el esquema de cifrado base o subyacente son seguros, tambie´n lo será el esquema de cifrado con cambio de llave. Desde el punto de vista cuantitativo se puede interpretar que la seguridad de cifrar l · n mensajes con el esquema extendido, esta´ relacionada con la pseudoaleatoriedad de n bloques de salida del generador y la seguridad de cifrar l mensajes bajo una sola llave aleatoria, de aquí, que el te´rmino de la ventaja del adversario Adv ^ind−cpa(t, l, m) sea multiplicado por n y haya una ganancia clara: la seguridad del esquema de cifrado base esta´ relacionada con el cifrado de solo l mensajes. En otras palabras se puede cuantificar la seguridad de los mecanismos externos en funcio´n de la seguridad de las primitivas que usa.

La demostracio´n de este teorema puede encontrarse en (^{Abdalla and Bellare, 2021}), así como, los corolarios que muestran la seguridad de los esquemas basados en generadores paralelos y en serie. Con estos ana´lisis de seguridad se evidencia que el aumento de seguridad es posible y que se puede medir de manera general la seguridad de variados esquemas re-keyed eligiendo los para´metros o´ptimos para minimizar la ventaja de los adversarios. Ejemplos de construcciones de cambios de llave externos se pueden encontrar en (^{Liu, 2002}; ^{Chen et al., 2008}; Prakash et al., 2016; ^{Gueron and Lindell, 2017}; ^{Bock et al., 2019}).

Uno de los u´ltimos disen˜o encontrados en la literatura (^{Tsypyschev and Morgasov, 2022}) es un artículo pro- puesto por Vadim Tsypyschev y Iliya Morgasov donde se propone una variante externa seriada del modo CFB llamado por los autores Multi-key CFB, de forma abreviada MCFB. Con este disen˜o se busca construir un generador de secuencia pseudoaleatorias de peso ligero, sin embargo, en su ana´lisis de seguridad en el modelo de seguridad demostrable LOR-CPA se encuentran incongruencias relacionadas con el teorema sobre la seguridad de los mecanismos externos propuesto en (^{Abdalla and Bellare, 2021}).

Mecanismos internos

El me´todo de cambio de llave interno es un enfoque que incrementa el tiempo de vida de las llaves usando una transformacio´n de los datos de la llave durante el procesamiento de cada mensaje diferente. Tal mecanismo es construido dentro de un modo de operacio´n particular, de ahí el nombre de mecanismo interno. Cada mensaje es procesado comenzando con la misma llave (la primera llave de seccio´n) y cada llave de seccio´n es actualizada usando cierta te´cnica de actualizacio´n despue´s de procesar una cantidad determinada de bloques del mensaje (seccio´n), la cual es medida en bloques y se determina sin ningu´n protocolo específico, sino dependiendo de los requerimientos del sistema y el tiempo de vida de la llave.

Los algoritmos de cifrado en bloques se definen como transformaciones que operan sobre bloques de taman˜o fijo y los modos de operacio´n surgen como alternativa o variante al cifrado de mensajes o textos claros que su longitud superan el taman˜o de dichos bloque, por lo que son los que definen como se procesan y combinan los bloques de salida del algoritmo para obtener el texto cifrado. Los modos de confidencialidad considerados como cla´sicos son el ECB, CBC, OFB, CFB y CTR (PUB, 1980; ^{Knudsen, 1994}; ^{Dworkin, 2001}; Roga- way, 2011) por lo que hemos encontrado en la literatura variantes de mecanismos de re-keying interno que constituyen modificaciones de los mismos.

En este enfoque tiene un papel fundamental el taman˜o de la seccio´n y este viene dado por las limitaciones del tiempo de vida de la llave que será usada, estas limitaciones pueden estar dadas por propiedades combinatorias del modo de operacio´n probabilísticas (Lavrikov and Shishkin, 2019) o demostrable (^{Bellare et al., 1997}; ^{Anand et al., 2016}; ^{Tsypyschev and Morgasov, 2022}; ^{Nemoz et al., 2022}; ^{Maram et al., 2022}), ataques de canal colateral (^{Black and Urtubia, 2002}; ^{Liu, 2002}; ^{Perusheska et al., 2002}; ^{Suga, 2018}; ^{Banerjee et al., 2022}; ^{Lee et al., 2022}; ^{Noura et al., 2019}a) o ataques conocidos al cifrado en bloque que se utiliza (^{Rohit and Sarkar, 2022}; ^{Bariant and Leurent, 2022}; ^{Yadav et al., 2022}), etc. Taman˜os de seccio´n grandes hacen que el procesamiento de los mensajes sea ma´s ra´pido, sin embargo, taman˜os pequen˜os aumenta la cantidad de mensajes procesados de forma diferente. Es recomendable usarlo en protocolos que procesen mensajes largos, ya que la ma´xima ganancia en este enfoque se consigue en el incremento de la longitud del mensaje que será cifrado. La idea ba´sica del mismo se puede apreciar en la figura 3.

La idea esencial de hacer dina´micos los modos de operacio´n de los algoritmos de cifrado en bloques no es nueva, se puede encontrar en la bibliografía ejemplos muy antiguos de disen˜os de modos de operacio´n que hacen dina´micos algunos de sus valores secretos para ganar mayor seguridad, entre estos podemos mencionar una variante de los modos OFB y CBC propuesta en (^{Jansen and Boekee, 1987}) en el an˜o 1988 donde los autores proponen una variante del modo de operacio´n OFB con una funcio´n no lineal que trabaja a partir de la siguiente regla de cifrado

C _i = E _k i (P _i )dondeK _i = E _k (K _i−1 ) (2)

En (^{Knudsen, 1994}) se realizan algunos ana´lisis de seguridad de este modo con respecto a su distancia de unicidad, errores de propagacio´n e implementacio´n. En este caso el taman˜o de la seccio´n N coincide con un solo bloque y no se pudo encontrar en la literatura pruebas de su seguridad ni probabilísticas ni bajo la teoría de la seguridad demostrable.

En el artículo (^{Noura et al., 2019}b) se proponen dos mecanismos: fresco e interno. Por lo que adema´s de variar la llave con cada mensaje a ser cifrado, proponen una variante dina´mica del modo de operacio´n ECB en orden de evitar los asuntos asociados al orden esta´tico de cifrado con este modo. Esto se logra seleccionando el orden de los bloques que sera´n cifrado de manera pseudoaleatoria y dina´mica en lugar de la típica orden

secuencial, ya que, la seleccio´n de los bloques está basada en una tabla de permutacio´n dina´mica que es

obtenida de la llave dina´mica, la cual cambia para cada mensaje de entrada. Adema´s se lleva a cabo una mezcla pseudoaleatoria de dos bloques en lugar de uno para incrementar la aleatoriedad del texto cifrado y hacer el criptana´lisis au´n ma´s dif´ıcil. En este caso la llave cambia con cada mensaje y el orden de los bloques tambie´n dependiendo de la llave de cifrado. Este se puede ver como la integracio´n de dos de los mecanismos de extensio´n de vida de las llaves.

En el an˜o 2006 en (^{Popov et al., 2006}) se define el modo de cifrado Key Meshing, para el cifrado de mensajes largos con el algoritmo GOST 28147-89, el cual transforma la llave de cifrado y el vector de inicializacio´n una vez procesado una cierta cantidad de datos, en este caso 1024 octetos equivalentes a 256 bloques de 64 bit de texto claro. Este algoritmo afecta el estado interno del cifrado y no trabaja a nivel de protocolo, adema´s tiene la misma desventaja que el modo OFB, ya que resulta imposible restablecer la sincronizacio´n del cifrado durante el descifre cuando los datos han sido corruptos, perdidos o desordenados. Adema´s, es imposible re- sincronizar incluso si el vector de inicializacio´n para cada paquete de datos es proveído explícitamente. El uso de este algoritmo en protocolos como el IPsec requiere de cuidado especial.

El procesamiento con este algoritmo de 1024 octetos empieza con el ca´lculo de la llave y vector de inicializacio´n de la presente seccio´n, a partir del descifre y cifre en el modo ECB de la llave y el vector IV de la seccio´n anterior a partir de las siguientes fo´rmulas

K[i + 1] = decryptECB(K[i],C) (3)

IV 0[i + 1] = encryptECB(K[i + 1], IVn[i]) (4)

donde C es una constante dada fija.

En el trabajo (^{Popov et al., 2006}) son analizadas las propiedades combinatorias y probabilísticas de este me´todo, pero no hay ana´lisis de su impacto sobre las propiedades criptogra´ficas del modo de cifrado usado, de aquí que, en 2016 en (^{Akhmetzyanova et al., 2017}) se presenten las cotas de seguridad en el modelo de seguridad esta´ndar de la seguridad demostrable para el cifrado Magma en el modo CTR y el modo CPKM previamente usado en el cifrador GOST 28147-89. En este caso se analiza una variante del algoritmo original CPKM donde no es considerado la regla para el cambio del vector de inicializacio´n IV y la llave es procesada con el algoritmo Kuznyechik cuando la seccio´n es de un taman˜o de 128 bits.

En la demostracio´n de seguridad modelan un adversario usando una ma´quina de Turing probabilística, suponiendo que A(t, a, b, . . .) es el conjunto de adversarios cuyas fuentes computacionales (taman˜o del programa y promedio de complejidad) no son mayores que t y el resto de los para´metros (ejemplo: nu´mero de preguntas al ora´culo) esta´n limitados por los valores a, b, . . . para cada caso específico que sea analizado. Si T es un problema decisional donde el adversario A puede distinguir un bit b, entonces la ventaja promedio de este adversario para el problema T es Adv ^T(A) = Pr[A ⇒ 1|b = 1] − Pr[A ⇒ 1|b = 0].

Los modelos de seguridad ma´s usados derivados del trabajo (^{Bellare et al., 1997}) para los cifrados de bloque son los modelos PRF y PRP-CCA, en ambos casos se debe decidir entre el uso de una funcio´n aleatoria y el cifrado de bloque y el uso de una permutacio´n pseudoaleatoria y el cifrado respectivamente. Ambos casos son consecuentes con los me´todos basados de la paradoja del cumplean˜os y el ataque por fuerza bruta. De aquí que se asuman las siguientes aproximaciones:

AdvPRP−CCA t

t q ²

_E (t, q) ≈ 2k , Adv _E (t, q) ≈ 2k + 2n(5)

Así como son propuestos los modelos anteriores de seguridad para los cifrados en bloque tambie´n se define en (^{Bellare et al., 1997}) el modelo LOR-CPA como uno de los ma´s usuales a ser usados en las pruebas de seguridad de los modos de operacio´n, en este caso se debe decidir entre el cifrado de dos mensajes de igual taman˜o. Dentro de las relaciones encontradas entre estos modelos se debe destacar la relacio´n entre el modelo PRP y LOR-CPA para el caso del modo de operacio´n CTR:

Adv ^LOR−CPA(t, q, m) 0 2 · Adv ^PRF(t + q + nqm, qm) (6)

CTR E

En (^{Akhmetzyanova et al., 2017}) tambie´n es usado adema´s un problema intermedio IND-KM_l,m para remplazar el modo CTR-CPKM_l por el modo CTR-RK_l donde la llave es escogida de forma aleatoria para cada nueva seccio´n, obtenie´ndose para el cifrado Magma las siguientes cotas:

AdvLOR−CPA

2m ² q ² l ² t + q + nmql2 2q ² l ² CTR(t, q, ml) ≈2n+2k≈ m ·2n(7)AdvLOR−CPAt q ml2m 2t + qmlq2l2t + qml δ m2q ² l ²(8)CTR−CPKMl ( , ,) ≈2k+2n +2k+≈2n

y concluyendo que la seguridad con el modo CTR-CPKM_l aumenta con respecto a la seguridad con el modo CTR cla´sico. Las cotas para el caso del algoritmo Kuznyechik con taman˜o de seccio´n 128 bits son similares a las obtenidas para el caso del Magma.

El me´todo CPKM de cambio de llave interno tiene la desventaja de que pueden existir colisiones en las entradas a la permutacio´n del cifrado en bloque en los casos de la transformacio´n de la llave y en el procesamiento del mensaje. Debido a esta debilidad los propios autores proponen en un posterior articulo una mejora de este me´todo al asegurar que las constantes usadas en la generacio´n de las llaves y procesamiento del mensaje no son susceptibles a colisiones a trave´s de la transformacio´n usada. Pero este truco es posible solamente para modos en los que se puede predecir la entrada a la transformacio´n de cifrado por lo que esta solucio´n no puede ser usada en cualquier modo (por ejemplo no se puede usar en los modos CBC o CFB).

En (^{Ahmetzyanova et al., 2017}) en 2017 los mismos autores introducen los conceptos de cambio de llave externo e interno como generalizaciones de la derivacio´n de llaves y el me´todo de Key Meshing y se discuten sus características, ventajas y desventajas. De esta misma manera proponen un nuevo mecanismo de extensio´n de las llaves llamado ACPKM, como una mejora del mecanismo de cambio de llave interno CPKM y se modifica el modo de autenticado GCM, así como, se aumentan las cotas de seguridad asociadas al mismo. Se realiza un ana´lisis comparativo con respecto a la implementacio´n en hardware y se concluye con que el me´todo de cambio de llave interno no se puede ver como una alternativa diferente al cambio de llave externo sino como una extensio´n ma´s fuerte o poderosa.

Tambie´n afirman que la estructura de prueba obtenida (problema IKM) es u´til para obtener límites de seguridad para otros modos de operacio´n re-keyed que no usen valores secretos adicionales (sin llave maestra). Los ana´lisis de seguridad de los me´todos internos conducen al ana´lisis de modos abstractos donde las llaves de seccio´n son escogidas independientes y aleatorias. Para algunos modos de operacio´n (CTR, OFB, CBC) la seguridad de sus correspondientes modos con llaves aleatorias puede ser fa´cilmente analizados, usando te´cnicas de argumento híbridos.

En 2017 se presenta en (^{Ahmetzyanova et al., 2017}) el modo de cambio de llave interno de cifrado en bloque CTR - ACPKM y es asumido en el sistema de Estandarizacio´n ruso y debe pasar a trave´s de las u´ltimas etapas formales de normalizacio´n en el Grupo de Trabajo en Ingeniería de Internet o IETF por sus siglas en ingle´s (Internet Engineering Task Force), por lo que varios investigadores rusos han dedicado sus esfuerzos a demostrar la seguridad de estos me´todos.

En 2018 en (^{Akhmetzyanova et al., 2018}) se realiza un ana´lisis de la seguridad de este modo de operacio´n similar al ana´lisis realizado para el algoritmo GCM-ACPKM con la diferencia de que en aquel caso las cotas de seguridad son analizadas con respecto a la cantidad ma´xima de texto claro y en el modo CTR las cotas son dadas a partir del taman˜o total del texto claro, para este ana´lisis tambie´n se emplea el modelo de seguridad IND-CPNA propuesto anteriormente por ^{Bellare y Rogaway en (Bellare and Rogaway, 2004}). Este modelo es similar al IND-CPA pero considera un adversario con acceso al nonce. Este es un modelo de seguridad esta´ndar ma´s fuerte que permite analizar las propiedades criptogra´ficas del modo desde el punto de vista computacional cercano al cifrado ideal one-time-pad. Otro ana´lisis comparativo de este modo con respecto al algoritmo Fortuna desde un enfoque estadístico puede ser visto en (^{Pen˜ate et al., 2020}).

En el mecanismo de cambio de llave ACPKM el mensaje es procesado comenzando con una misma llave, la primera llave de seccio´n y cada llave de seccio´n es actualizada usando cierta te´cnica de actualizacio´n de llave despue´s de procesar una cierta cantidad de bloques (una seccio´n). Para el para´metro N el modo de operacio´n de derivacio´n de llaves interno CTR − ACPKM _N trabaja de la siguiente forma:

Dado un mensaje de entrada X de m bloques de taman˜o n, este será dividido en lm= [N |secciones (denotadas como X = X ¹X ². . .X ^l , donde X ⁱ ∈ {0, 1}^nN para i ∈ {1, 2, . . . , l − 1} , X ^l ∈ {0, 1}^r ,r ≤ nN) que sera´n procesadas bajo la misma llave inicial. La primera seccio´n de cada mensaje es procesado bajo la llave de seccio´n K ¹ = K usando el modo CTR. La i-e´sima seccio´n del mensaje es continuamente procesada usando el mismo modo con la llave de seccio´n K ⁱ⁺¹ , la cual fue calculada usando la transformacio´n ACPKM como sigue:

K ⁱ⁺¹ = ACPKM(K ⁱ ) = msb _k (E _k i (D ₁) . . .E _k i (D _s )) (9)

donde s = [ k | y D ₁ , D ₂ , . . . .D _s ∈ {0, 1}ⁿ son constantes arbitrarias diferentes por pares, tales que, (n ) − th

bit (contando desde la derecha) de cada D _i es igual a 1. Note que el estado interno (contador) del modo CTR − ACPKM _N no es actualizado para cada nueva seccio´n y la condicio´n impuesta a las constantes permite prevenir colisiones en los bloques de entrada a la permutacio´n generada por el cifrado de bloque con la llave

actual. En el ana´lisis de seguridad descrito anteriormente los autores en ^{Akhmetzyanova et al. (2018}) proponen el siguiente resultado:

Teorema 2

Sea N el para´metro del modo CTR − ACPKM _N . Entonces para cualquier adversario A con un tiempo de complejidad a lo sumo t que hace preguntas, donde el taman˜o ma´ximo del mensaje es a lo sumo m (m ≤2^n/2−1 ) bloques y un total de taman˜o de mensaje de a lo sumo σ bloques, existe un adversario B tal queAdvind−cpnaprp−cpa(σ ₁ + s)² + . . . + (σ _l−1 + s)² + (σ _l )² CTR−ACPKMN (A) ≤ l · Adv E(B) +2n+1 (10) donde s = [k/n|, l = [m/N|, σ _j es el taman˜o total de bloques de datos procesados bajo una misma llave de seccio´n K ^j y σ _j ≤ 2ⁿ⁻¹ , σ ₁ + . . . + σ _l = σ . El adversario B hace a los sumo σ ₁ + s preguntas. Adema´s el tiempo de complejidad de B es a lo sumo t + cn(σ + ls), donde c es una constante que depende solamente del modelo de ca´lculo y me´todo de codificacio´n.

Como otro ejemplo de disen˜os de mecanismos de cambio de llave interno se presenta el me´todo propuesto en el an˜o 2018 en (^{Alekseev et al., 2020}) el nuevo modo de operacio´n CTRR (Modo de cambio de llave contador con llaves relacionadas) que usa varias llaves con suma xor fija o modular, que contiene tambie´n como modo de operacio´n base, el CTR y considera como premisa que el sudyacente cifrado de bloque, en este caso, el Kuznyechik, es seguro bajo el modelo de seguridad PRP-RKA (modelo de llaves relacionadas) introducido en (^{Bellare and Kohno, 2003}). En este artículo se obtienen las cotas inferiores de seguridad para este modo en el modelo LOR-CPA dependiendo de la seguridad del cifrador usado en un modelo con dos llaves relacionadas.

La seguridad de un cifrado de bloque en el modelo PRP-RKA de llaves relacionas no se deriva de su seguridad esta´ndar en el modelo PRP-CPA, las oportunidades del adversario en el modelo de llaves relacionadas son mayores que en los modelos esta´ndar, por lo tanto, generalmente la demostracio´n de la seguridad (en este modelo) del cifrado y su ana´lisis requieren significativamente ma´s esfuerzo, ya que, hay requisitos adicionales sobre el esquedule de llave. Sin embargo, el esfuerzo de desarrollar y analizar el cifrado en el modelo de llaves relacionadas está compensado por el hecho de que pueden ser desarrollados criptosistemas ma´s eficientes sobre estos cifrados. La eficiencia se logra debido a la habilidad de trabajar no so´lo con llaves independientes sino tambie´n con llaves relacionadas por una relacio´n simple, a continuacio´n se muestra el esquema de trabajo del algoritmo Kuznyechik en el modo CTRR:

ctr ₁ = IV ||0^n/2 , ctr _j = Inc(ctr _j−1 ), j = 2, . . . , |P|_n
K ₁ = K, K _j = E _φ(K j−1)(C ₁)|| . . . ||E _φ(K j−1)(C _k/n ), j = 2, . . . , [|P|/N|
G _j = E _K i (ctr _j ), j = 1, . . . , |P|_n , i = [ j · n/N|;
Texto cifrado C es igual a P ⊕ msb _|P| (G ₁|| . . . ||G _|P| n )

En este esquema el texto claro es procesado de la misma manera que en el modo esta´ndar CTR pero la llave que es usada para generar los bloques cifrados G _j no es constante y se actualiza despue´s de generar N/n

bloques G _j . La transformacio´n φ puede ser algunas de las siguientes:

−φ (X ) = X ⊕ c, para alguna constante c ∈ V _k , c /= 0^k ;
−φ (X ) = str _k (int(X ) + c mo´d 2^k ) para alguna constante c ∈ {1,..., 2^k − 1}

Resultados y discusio´n

Como resultado de la revisio´n bibliogra´fica podemos decir que una de las ventajas del mecanismo externo se encuentra en el manejo de una llave inicial empleada como llave maestra que nunca es usada para el proceso de cifrado directamente, ya que de ella se derivan las llaves usadas para cada seccio´n. El material cifrado con una llave de seccio´n está estrictamente limitado por el taman˜o de la seccio´n sin influir las limitaciones del tiempo de vida de la llave maestra. El tiempo de vida de la llave incrementa independientemente del modo con una completa y correcta prueba de seguridad basada en la teoría de la seguridad demostrable y las fugas derivadas de una llave derivada no tienen impacto sobre el resto de las llaves derivadas.

En el caso interno las transformaciones efectuadas a la llave siempre se pueden realizar con independencia del taman˜o del mensaje, siempre considerando el modo en las que son usadas sin ser necesario restaurar el proceso de cifrado en dependencia del taman˜o del mensaje y las transformaciones de la llave no se ven limitadas por el tiempo de vida de la llave maestra.

Indudablemente la ventaja del caso externo es la posibilidad de usar las cotas de seguridad obtenidas para el modo de operacio´n base para cuantificar la seguridad del modo externo correspondiente (^{Ahmetzyanova et al., 2017}). Este enfoque es propuesto para realizarse cada vez que una cantidad de mensajes es procesado, sin embargo, el tiempo de vida de la llave depende de la longitud total de los mensajes procesados y no de su cantidad. Estos límites pueden ser acotados por las limitaciones de seguridad del tiempo de vida de la llave. Por tanto la cantidad de mensajes procesados será proporcional a su ma´ximo taman˜o y el largo del mensaje procesado requerirá una fragmentacio´n adicional (Ahmetzyanova et al., 2017).

El enfoque interno no puede ser tratado como una alternativa del enfoque externo sino como una extensio´n ma´s fuerte y permite eliminar el problema de limitacio´n de la longitud del mensaje cuando el tiempo de vida de la llave es limitada.

El caso fresco tiene una estructura ma´s lejana del resto y adema´s de lograr extender el tiempo de vida de las llaves se logra evadir ataques de canal colateral, lo cual no se puede asegurar en el resto de los casos ya que se sigue cifrando con una llave ma´s de un bloque de texto claro, condicio´n que se usa para implementar los ataques de canal colateral, sin embargo, al generarse una nueva permutacio´n con el uso de cada llave de cifrado sus ana´lisis de seguridad son ma´s dif´ıciles de realizar. Sin embargo, este me´todo solo es posible o tiene sentido cuando es significativamente ma´s fa´cil proteger la funcio´n de generacio´n de llave contra los ataques diferenciales que el propio algoritmo original. A pesar de tener una ganancia evidente en su disen˜o se puede apreciar en los trabajos ma´s recientes una tendencia a combinar este mecanismos con otras te´cnicas de enmascaramiento o a ser superada por el uso de valores tweat en diferentes niveles de los algoritmos de cifrado en bloque o en los modos de operacio´n.

Conclusiones

Como resultado de la investigacio´n realizada sobre el estado del arte se encontraron 3 mecanismos de cambio de llave y se pudo establecer los niveles donde es ma´s o´ptimo su uso, concluyendo que su aplicacio´n está de- terminada en primera instancia a partir de las características de los mensajes a cifrar. En el caso particular en que los mensajes puedan considerarse como pequen˜os o de poca longitud se recomienda el uso de mecanismos externos para garantizar el aumento del tiempo de vida de las llaves, sin embargo para el procesamiento de mensajes largos se recomienda el uso de mecanismos internos. Para los entornos de aplicacio´n en dispositivos de peso ligero es recomendable los mecanismos frescos aunque tambie´n se recomienda el uso de valores tweat en diferentes niveles de los algoritmos de cifrado en bloque para obtener las mismas ganancias de seguridad.

En cada una de las variantes se logra un aumento del tiempo de vida de las llaves de cifrado, sin embargo, recomendamos implementar mecanismos internos cuando estemos en presencia de algoritmos de cifrado en bloque dina´micos (sus funciones o transformaciones varían en dependencia de la llave bajo ciertas relaciones o de forma aleatoria), solucio´n que a pesar de disminuir el rendimiento aporta ma´s seguridad al cifrado de los datos.

Se sugiere a los disen˜adores trabajar en la combinacio´n de estos mecanismos para alcanzar resultados superiores en la seguridad de los esquemas criptogra´ficos y la proteccio´n de la informacio´n, aprovechando las ventajas de cada una de estas variantes.

Referencias

Michel Abdalla and Mihir Bellare. Increasing the lifetime of a key: a comparative analysis of the security of re-keying techniques. In International Conference on the Theory and Application of Cryptology and Information Security, pages 546-559. Springer, 2000. [ Links ]

Michel Abdalla and Mihir Bellare. Increasing the lifetime of a key: a comparative analysis of the security of re-keying techniques. https://cseweb.ucsd.edu/ mihir/papers/rekey.pdf, 2021. [ Links ]

Michel Abdalla, Sonia Belaıd, and Pierre-Alain Fouque. Leakage-resilient symmetric encryption via re- keying. In International Conference on Cryptographic Hardware and Embedded Systems. Springer, 2013. [ Links ]

Liliya R Ahmetzyanova, Evgeny Konstantinovich Alekseev, Igor Borisovich Oshkin, and Stanislav Vitale´vich Smyshlyaev. Increasing the lifetime of symmetric keys for the gcm mode by internal re-keying. IACR Cryptol. ePrint Arch., 2017(697), 2017. [ Links ]

Liliya R Akhmetzyanova, Evgeny Konstantinovich Alekseev, Igor Borisovich Oshkin, Stanislav Vitale´vich Smyshlyaev, and Lolita A Sonina. On the properties of the ctr encryption mode of magma and kuznyechik block ciphers with re-keying method based on cryptopro key meshing. Mathematical Aspects of Crypto- graphy, 8(2):39-50, 2017. [ Links ]

Liliya R Akhmetzyanova, Evgeny Konstantinovich Alekseev, and Stanislav Vitale´vich Smyshlyaev. Security bound for ctr acpkm internally re-keyed encryption mode. IACR Cryptology ePrint Archive, 2018(950), 2018. [ Links ]

Evgeny K Alekseev, Kirill S Goncharenko, and Grigory B Marshalko. Provably secure counter mode with related-key-based internal re-keying. In 7 th Workshop on Current Trends in Cryptology (CTCrypt 2018), pages 161-180. [ Links ]

Evgeny K Alekseev, Kirill S Goncharenko, and Grigory B Marshalko. Provably secure counter mode with related-key-based internal re-keying. Journal of Computer Virology and Hacking Techniques, 16(4):285- 294, 2020. [ Links ]

Mayuresh Vivekanand Anand, Ehsan Ebrahimi Targhi, Gelo Noel Tabia, and Dominique Unruh. Post-quantum security of the cbc, cfb, ofb, ctr, and xts modes of operation. In Post-quantum Cryptography, pages 44-63. Springer, 2016. [ Links ]

Uri Avraham, Eli Biham, and Orr Dunkelman. ABC-A New Framewrok for Block Ciphers. PhD thesis, Computer Science Department, Technion, 2012. [ Links ]

Anubhab Baksi, Shivam Bhasin, Jakub Breier, Mustafa Khairallah, and Thomas Peyrin. Protecting block ciphers against differential fault attacks without re-keying. In 2018 IEEE International Symposium on Hardware Oriented Security and Trust (HOST). IEEE, 2018. [ Links ]

Utsav Banerjee, Lisa Ho, and Skanda Koppula. Power-based side-channel attack for aes key extraction on the atmega328 microcontroller. arXiv preprint arXiv: 2203.08220, 2022. [ Links ]

Augustin Bariant and Gae¨tan Leurent. Truncated boomerang attacks and application to aes-based ciphers. Cryptology ePrint Archive, 2022. [ Links ]

Sonia Belaıd, Fabrizio De Santis, Johann Heyszl, Stefan Mangard, Marcel Medwed, Jo¨rn-Marc Schmidt, Franc¸ois-Xavier Standaert, and Stefan Tillich. Towards fresh re-keying with leakage-resilient prfs: cipher design principles and analysis. Journal of Cryptographic Engineering, 4(3), 2014. [ Links ]

Mihir Bellare and Tadayoshi Kohno. A theoretical treatment of related-key attacks: Rka-prps, rka-prfs and applications. In International Conference on the Theory and Applications of Cryptographic Techniques, pages 491-506. Springer, 2003. [ Links ]

Mihir Bellare and Phillip Rogaway. Introduction to modern cryptography. chapter 4, symmetric encryption, 2004. [ Links ]

Mihir Bellare, Anand Desai, Eron Jokipii, and Phillip Rogaway. A concrete security treatment of symmetric encryption. In Proceedings 38th Annual Symposium on Foundations of Computer Science, pages 394-403. IEEE, 1997. [ Links ]

John Black and Hector Urtubia. {Side-Channel} attacks on symmetric encryption schemes: The case for authenticated encryption. In 11th USENIX Security Symposium (USENIX Security 02), 2002. [ Links ]

Benedikt Bock, Jan-Tobias Matysik, Konrad-Felix Krentz, and Christoph Meinel. Link layer key revocation and rekeying for the adaptive key establishment scheme. In 2019 IEEE 5th World Forum on Internet of Things (WF-IoT). IEEE, 2019. [ Links ]

Avik Chakraborti, Nilanjan Datta, Ashwin Jha, Cuauhtemoc Mancillas-Lo´pez, and Mridul Nandi. Light- ocb: Parallel lightweight authenticated cipher with full security. In International Conference on Security, Privacy, and Applied Cryptography Engineering, pages 22-41. Springer, 2021. [ Links ]

Debrup Chakraborty and Samir Kundu. {\sf TrCBC} is insecure. Cryptology ePrint Archive, 2022. [ Links ]

Lily Chen, et al. Recommendation for key derivation using pseudorandom functions. NIST special publication, 800:108, 2008. [ Links ]

Joan Daemen and Vincent Rijmen. Announcing the advanced encryption standard (aes). Federal Information Processing Standards Publication, 197, 2001. [ Links ]

Joan Daemen and Vincent Rijmen. The design of Rijndael: AES the advanced encryption standard. Springer, 2020. [ Links ]

Gianluca Dini and Ida M Savino. Lark: a lightweight authenticated rekeying scheme for clustered wireless sensor networks. ACM Transactions onEmbedded Computing Systems (TECS), 10(4):1-35, 2011. [ Links ]

Christoph Dobraunig, Maria Eichlseder, Stefan Mangard, and Florian Mendel. On the security of fresh re- keying to counteract side-channel and fault attacks. In International Conference on Smart Card Research and Advanced Applications. Springer, 2014. [ Links ]

Christoph Dobraunig, Franc¸ois Koeune, Stefan Mangard, Florian Mendel, and Franc¸ois-Xavier Standaert. Towards fresh and hybrid re-keying schemes with beyond birthday security. In International Conference on Smart Card Research and Advanced Applications. Springer, 2015. [ Links ]

Morris Dworkin. Nist special publication 800-38a 2001 edition. NIST Special Publication, 800(3):38A, 2001. [ Links ]

Shay Gueron and Yehuda Lindell. Better bounds for block cipher modes of operation via nonce-based key de- rivation. In Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security, 2017. [ Links ]

Qian Guo and Thomas Johansson. A new birthday-type algorithm for attacking the fresh re-keying counter- measure. Information Processing Letters, 146, 2019. [ Links ]

Cees JA Jansen and Dick E Boekee. Modes of blockcipher algorithms and their protection against active eavesdropping. In Workshop on the Theory and Application of of Cryptographic Techniques, pages 281-286. Springer, 1987. [ Links ]

Mustafa Khairallah. Weak keys in the rekeying paradigm: application to comet and mixfeed. Cryptology ePrint Archive, 2019. [ Links ]

Lars Ramkilde Knudsen. Block ciphers-analysis, design and applications. Citeseer, 1994. [ Links ]

IV Lavrikov and Vasily Alekseevich Shishkin. How much data may be safely processed on one key in different modes? Mathematical Aspects of Cryptography, 10(2):125-134, 2019. [ Links ]

Wai-Kong Lee, Seog Chung Seo, Hwa Jeong ang Seo, and Seong Oun Hwang. Efficient implementation of aes-ctr and aes-ecb on gpus with applications for high-speed frodokem and exhaustive key search. volu- me 69, pages 2962-2966, 2022. [ Links ]

Shengli Liu. Information-theoretic secret key agreement. Citeseer, 2002. [ Links ]

Varun Maram, Daniel Masny, Sikhar Patranabis, and Srinivasan Raghuraman. On the quantum security of ocb. IACR Transactions on Symmetric Cryptology, 2022. [ Links ]

Marcel Medwed, Christoph Petit, Francesco Regazzoni, Mathieu Renauld, and Franc¸ois-Xavier Standaert. Fresh re-keying ii: Security multiple parties against side-channel and fault attacks. In International Confe- rence on Smart Card Research and Advance Applications, pages 115-132. [ Links ]

Marcel Medwed, Franc¸ois-Xavier Standaert, Johann Großscha¨dl, and Francesco Regazzoni. Fresh re-keying: Security against side-channel and fault attacks for low-cost devices. In International Conference on Cry- ptology in Africa, pages 279-296. Springer, 2010. [ Links ]

Bart Mennink. Beyond birthday bound secure fresh rekeying: Application of authenticated encryption. In International Conference on the Theory and Application of Cryptology and Information Security, pages 630-661. Springer, 2020. [ Links ]

Muhammad arif Mugal, Peng Shi, Ata Ullah, Khalid Mahmood, Muhammad Abid, and Xiong Luo. Logical tree based secure rekeying management for smart devices groups in iot enabled wsn. IEEE Access, 7: 76699-76711, 2019. [ Links ]

Vinayak Musale and Devendra Chaudhari. Efficient and secure keying mechanism for communication in sen- sor networks. In International Conference on Intelligent Data Communication Technologies and Internet of Things. Springer, 2019. [ Links ]

Tristan Nemoz, Zoe´ Amblard, and Aure´lien Dupin. Characterizing the qind-qcpa (in) security of the cbc, cfb, ofb and ctr modes of operation. Cryptology ePrint Archive, 2022. [ Links ]

Hassan Noura, Ali Chehab, and Raphael Couturier. Lightweight dynamic key-dependent and flexible cipher scheme for iot devices. In 2019 IEEE Wireless Communications and Networking conference (WCNC) , pages 1-8. IEEE, 2019a. [ Links ]

Hassan N Noura, Ali Chehab, and Raphael Couturier. Efficient & secure cipher scheme with dynamic key- dependent mode of operation. Signal processing: Image communication, 78:448-464, 2019b. [ Links ]

Adria´n Alfonso Pen˜ate, Dayme Almeida Echevarria, and Laura Castro Argudın. Statistical assessment of two rekeying mechanisms applied to the generation of random numbers. Journal of Science and Technology on Information security, 2(12):38-44, 2020. [ Links ]

Milena Gjorgjievska Perusheska, Hristina Mihajloska Trpceska, and Vesna Dimitrova. Deep learning-based cryptoanalysis of different aes modes of operation. In Future of Information and Communication Confe- rence, pages 675-693. Springer, 2002. [ Links ]

Vladimir Popov, I Kurepkin, and S Leontiev. Additional cryptographic algorithms for use with gost 28147-89, gost r 34.10-94, gost r 34.10-2001, and gost r 34.11-94 algorithms. Retrieved January, 2006. [ Links ]

A John Prakash, V Rhymend Uthariaraj, and B Lydia Elizabeth. Efficient key management protocol with pre- dictive rekeying for dynamic networks. In 2016 2nd International Conference on Green High Performance Computing (ICGHPC). IEEE, 2016. [ Links ]

FIPS PUB. Des modes of operation, 1980. [ Links ]

Chuan Qin, Jingwei Li, and Patrick PC Lee. The design and implementation of a rekeying-aware encrypted deduplication storage system. ACM Transactions on Storage (TOS), 13(1):1-30, 2017. [ Links ]

Phillip Rogaway. Evaluation of some blockcipher modes of operation. Cryptography Research and Evaluation Committees (CRYPTREC) for the Government of Japan, 2011. [ Links ]

Raghvendra Rohit and Santanu Sarkar. Cryptanalysis of reduced round speedy. Cryptology ePrint Archive, 2022. [ Links ]

Yuji Suga. Satatus survey of ssl/tls sites in 2018 after pointing out about ”search form¨ıssues. In 2018 Sixth International Symposium on Computing and Networking Workshops (CANDARW), pages 483-485. IEEE, 2018. [ Links ]

Vadim Tsypyschev and Iliya Morgasov. Provable security of cfb mode of operation with external re-keying. Cryptology ePrint Archive, 2022. [ Links ]

Satyanarayana Vuppala, Alie El-Din Mady, and Adam Kuenzi. Rekeying-based moving target defence me- chanism for side-channel attacks. In 2019 Global IoT Summit (GIoTS). IEEE, 2019. [ Links ]

Tarun Yadav, Manoj Kumar, Amit Kumar, and Saibal K Pal. A pratical-quantum differential attack on block ciphers. Cryptology ePrint Archive, 2022. [ Links ]

Received: August 21, 2022; Accepted: September 01, 2022

^∗Autor para correspondencia: (daymealmeidaechevarria@gmail.com)

Los autores no poseen conflictos de intereses y autorizan la distribucio´n y uso de su artıculo.

Conceptualizacio´n: Daymé Almeida Echevarria

Curacio´n de datos: Ramses Rodríguez Aulet

Ana´lisis formal: Ernesto Domínguez Fiallo, Daymé Almeida Echevarria, Ramses Rodríguez Aulet

Investigacio´n: Daymé Almeida Echevarria, Ernesto Domínguez Fiallo, Ramses Rodríguez Aulet

Metodología: Daymé Almeida Echevarria

Administracio´n del proyecto: Daymé Almeida Echevarria

Recursos: Ernesto Domínguez Fiallo

Supervisio´n: Daymé Almeida Echevarria

Validacio´n: Ramses Rodríguez Aulet

Visualizacio´n: Ernesto Domínguez Fiallo

Redaccio´n - borrador original: Daymé Almeida Echevarria

Redaccio´n - revisio´n y edicio´n: Ernesto Domínguez Fiallo y Ramses Rodríguez Aulet

La investigacio´n no requirio´ fuente de financiamiento.