Ларс Кнудсен: відмінності між версіями
[перевірена версія] | [очікує на перевірку] |
Немає опису редагування |
Немає опису редагування |
||
(Не показані 14 проміжних версій 8 користувачів) | |||
Рядок 27: | Рядок 27: | ||
|чоловік = |
|чоловік = |
||
|діти = |
|діти = |
||
|нагороди =<!-- {{ |
|нагороди =<!-- {{(!}} style="background: transparent" |
||
{{!}} {{шаблон_вищої_нагороди}} |
{{!}} {{шаблон_вищої_нагороди}} |
||
{{! |
{{!)}} |
||
{{ |
{{(!}} style="background: transparent" |
||
{{!}} {{шаблон_нагороди}} {{!!}} {{шаблон_нагороди}} |
{{!}} {{шаблон_нагороди}} {{!!}} {{шаблон_нагороди}} |
||
{{!}}- |
{{!}}- |
||
{{!}} {{шаблон_нагороди}} {{!!}} {{шаблон_нагороди}} |
{{!}} {{шаблон_нагороди}} {{!!}} {{шаблон_нагороди}} |
||
{{! |
{{!)}} --> |
||
|автограф = |
|автограф = |
||
|примітки = |
|примітки = |
||
Рядок 40: | Рядок 40: | ||
}} |
}} |
||
'''Ларс Рамкільд Кнудсен''' ({{lang-en|Lars Ramkilde Knudsen}}) ({{дата народження|21|2|1962}}) — [[Данці| |
'''Ларс Рамкільд Кнудсен''' ({{lang-en|Lars Ramkilde Knudsen}}) ({{дата народження|21|2|1962}}) — [[Данці|данський]] [[математик]] і [[дослідник]] в області [[криптографія|криптографії]], професор кафедри математики в [[Данський технічний університет|Данському технічному університеті]]. Його дослідження включають в себе розробку й аналіз [[Блочний шифр|блочних шифрів]], [[Хешування|геш-функцій]] і [[MAC-підпис|кодів автентичності повідомлень]] ([[MAC-підпис|MACs]]). |
||
Кнудсен — один із засновників [[криптоаналіз]]у неможливих диференціалів і [[Інтегральний криптоаналіз | інтегрального криптоаналізу]]. Ларс є одним з розробників [[Grøstl]]. |
Кнудсен — один із засновників [[криптоаналіз]]у неможливих диференціалів і [[Інтегральний криптоаналіз | інтегрального криптоаналізу]]. Ларс є одним з розробників [[Grøstl]]. |
||
== Біографія == |
== Біографія == |
||
Ларс Кнудсен народився [[21 лютого]] 1962 року в [[Данія|Данії]]. |
Ларс Кнудсен народився [[21 лютого]] 1962 року в [[Данія|Данії]]. Після короткотривалої роботи в банківській сфері, в 1984 році Ларс вступив в [[Орхуський університет]] ({{lang-en|Aarhus University}}). Вивчав математику й інформатику, за порадою свого наукового керівника Айвана Б'єрре Дамгарда ({{lang-en|Ivan Bjerre Damgard}}). За словами Ларса, саме завдяки своєму науковому керівнику, він зробив вибір на користь вивчення диференціального [[криптоаналіз]]у. |
||
У 1992 році отримав ступінь магістра, а вже в 1994 — ступінь [[Доктор філософії|доктора філософії]]<ref>{{ |
У 1992 році отримав ступінь магістра, а вже в 1994 — ступінь [[Доктор філософії|доктора філософії]]<ref>{{cite paper| author = Lars Knudsen| title = Block Cipher — Analysis, Design and Applications, Ph.D. Thesis, 1994.| date = 1 июля 1994| url = http://www.daimi.au.dk/PB/485/PB-485.pdf| format = [[PDF]]| accessdate = 2009-11-26| archivedate = 10 липня 2007| archiveurl = https://web.archive.org/web/20070710045035/http://www.daimi.au.dk/PB/485/PB-485.pdf}}</ref>. З 1997 по 2001 рік працював в [[Бергенський університет |Бергенському університеті]], [[Норвегія]]. Був двічі обраний директором Міжнародної асоціації криптографічних досліджень ([[IACR]]) з січня 2001 року по грудень 2003 року та з січня 2004 року по грудень 2006 року. З 2003 по 2010 рік був помічником редактора журналу з криптології, що є офіційним журналом IACR. Виступав на конференціях і семінарах IACR. Його доповіді прослуховували на 7 наукових конференціях. В даний момент Кнудсен — професор, завідувач кафедри математики в [[Данський технічний університет|Данському технічному університеті]]. Очолює групу криптоаналітиків університету і є одним із розробників шифрів, криптографічних протоколів IEEE з криміналістики й безпеки. Один з керівників дослідного центру [[FICS]] (Foundations in Cryptology and Security). |
||
Ларс Кнудсен брав активну участь в [[AES (конкурс)|конкурсі]] на новий |
Ларс Кнудсен брав активну участь в [[AES (конкурс)|конкурсі]] на новий криптостандарт [[Advanced Encryption Standard|AES]]. На конкурсі він був єдиним криптоаналітиком, який представляв відразу два проекти: [[DEAL]] (Норвегія, Канада) і [[Serpent]] (Велика Британія, Ізраїль, Норвегія). Казус з тією обставиною, що Кнудсен всюди фігурує як представник Норвегії, пояснюється надзвичайною мобільністю данського вченого, оскільки за кілька останніх років перед конкурсом він встиг попрацювати у [[Франція|Франції]], [[Швейцарія|Швейцарії]] і [[Бельгія|Бельгії]]. На момент проведення конкурсу AES Ларс викладав криптологію в університет [[Берген]]а, Норвегія. |
||
Відомо також, що його [[число Ердеша]] дорівнює 3. |
Відомо також, що його [[число Ердеша]] дорівнює 3. |
||
== Наукові дослідження == |
== Наукові дослідження == |
||
У всьому світі Ларс Кнудсен відомий завдяки знаменитим атакам на шифри [[SAFER]] і [[SQUARE]], його роботам |
У всьому світі Ларс Кнудсен відомий завдяки знаменитим атакам на шифри [[SAFER]] і [[SQUARE]], його роботам з криптоаналізу неможливих диференціалів та інтегрального криптоаналізу. Кнудсен вперше запропонував використовувати усічені диференціали для атак на 6-раундовий [[DES]]. Надалі цей метод був використаний і для атак на [[Skipjack]] і [[SAFER]] із усіченим числом раундів. Також Ларс розробив шифри [[DEAL]] і [[Serpent]] (останній разом з англійцем [[Росс Андерсон | Россом Андерсоном]] і ізраїльтянином [[Елі Біхам]]ом). Ще однією розробкою Кнудсена є [[: en: Grøstl | Grøstl]], [[геш-функція]], один з п'яти фіналістів конкурсу [[Національний інститут стандартів і технологій (США) | NIST]] SHA-3. |
||
=== Інтегральний криптоаналіз === |
=== Інтегральний криптоаналіз === |
||
Інтегральний криптоаналіз — це вид |
Інтегральний криптоаналіз — це вид криптоаналізу, який частково можна застосовувати для атак на блочні шифри, засновані на [[SP-мережа|підстановлювально-перестановлювальних мережах]]. Він був сформульований Ларсом Кнудсеном в процесі пошуку атаки на шифр [[SQUARE]], тому в літературі його часто називають Square-атакою. Метод був розширений і застосований на подібні з Square шифри [[CRYPTON]], [[Rijndael]], і [[SHARK]]. Модифікації Square-атаки також були застосовані до шифрів [[Hierocrypt-L1]], [[IDEA]], [[Camellia (алгоритм) | Camellia]], [[Skipjack]], [[MISTY1]], [[MISTY2]], [[SAFER]] ++, [[KHAZAD]] і FOX (зараз званий {{iw|IDEA NXT}}). |
||
Інтегральний криптоаналіз побудований на принципі розгляду набору відкритих текстів, в яких одна частина залишається константою, а друга варіюється усіма можливими способами. Наприклад, атака може використовувати набір із 256 відкритих текстів, в яких всі, крім 8 біт, варіюються. Очевидно, що [[XOR]] цього набору дорівнює нулю. [[XOR]] відповідного набору шифротексту дає нам інформацію про роботу алгоритму шифрування. Такий метод використання великого набору відкритих текстів замість пари, як в [[Диференціальний криптоаналіз|диференціальному криптоаналізі]], дав назву «інтегральний». |
Інтегральний криптоаналіз, побудований на принципі розгляду набору відкритих текстів, в яких одна частина залишається константою, а друга варіюється усіма можливими способами. Наприклад, атака може використовувати набір із 256 відкритих текстів, в яких всі, крім 8 біт, варіюються. Очевидно, що [[XOR]] цього набору дорівнює нулю. [[XOR]] відповідного набору шифротексту дає нам інформацію про роботу алгоритму шифрування. Такий метод використання великого набору відкритих текстів замість пари, як в [[Диференціальний криптоаналіз|диференціальному криптоаналізі]], дав назву «інтегральний». |
||
=== Криптоаналіз неможливих диференціалів === |
=== Криптоаналіз неможливих диференціалів === |
||
Криптоаналіз неможливих диференціалів є різновидом [[Диференціальний криптоаналіз|диференціального криптоаналізу]], застосованого до [[Блочний шифр| |
Криптоаналіз неможливих диференціалів є різновидом [[Диференціальний криптоаналіз|диференціального криптоаналізу]], застосованого до [[Блочний шифр|блочних шифрів]]. У звичайному диференціальному криптоаналізі розглядається різниця, що має деяку кінцеву ймовірність, в криптоаналізі неможливих диференціалів — різниця, що має ймовірність 0, тобто «неможлива». |
||
Ця методика була вперше описана Ларсом Кнудсеном в заявці на конкурс [[AES (конкурс)|AES]] по шифру [[DEAL]]. Назву методиці дали [[Елі Біхам]], [[Алекс Бірюков]] і [[Аді Шамір]] на конференції CRYPTO'98. |
Ця методика була вперше описана Ларсом Кнудсеном в заявці на конкурс [[AES (конкурс)|AES]] по шифру [[DEAL]]. Назву методиці дали [[Елі Біхам]], [[Алекс Бірюков]] і [[Аді Шамір]] на конференції CRYPTO'98. |
||
Цей метод знайшов широке застосування і був використаний в атаках на шифри [[IDEA]], [[Khufu|Khufu і Khafre]], [[E2 (шифр)|E2]], різновиди [[Serpent]], [[ |
Цей метод знайшов широке застосування і був використаний в атаках на шифри [[IDEA]], [[Khufu|Khufu і Khafre]], [[E2 (шифр)|E2]], різновиди [[Serpent]], [[MARS]], [[Twofish]], [[Rijndael]], [[CRYPTON]], {{iw|Zodiac (cipher)}}, [[Hierocrypt-3]], [[TEA]], [[XTEA]], [[Mini-AES]], [[ARIA (криптографія) | ARIA]], [[Camellia (алгоритм)|Camellia]], і [[SHACAL-2]]<ref name="Алгоритмы шифрования"/>. |
||
=== Атака на шифр SAFER === |
=== Атака на шифр SAFER === |
||
[[SAFER]] K-64 є ітеративно блочним шифром. Алгоритм працює з 64-бітовим блоком і 64-бітових ключем. Кнудсен виявив слабке місце в розподілі ключів. Їх генерація в алгоритмі була зовсім важкою. Першим підключитися має сам ключ користувача. Наступні підключення генеруються процедурою <math>K_{i + 1} = \left( {K_i <<< 3i} \right) + c_{i+1}</math>. Операція <<< — циклічний зсув вліво на 3 [[біт]]и всередині кожного [[байт]]а ключа. |
[[SAFER]] K-64 є ітеративно блочним шифром. Алгоритм працює з 64-бітовим блоком і 64-бітових ключем. Кнудсен виявив слабке місце в розподілі ключів. Їх генерація в алгоритмі була зовсім важкою. Першим підключитися має сам ключ користувача. Наступні підключення генеруються процедурою <math>K_{i + 1} = \left( {K_i <<< 3i} \right) + c_{i+1}</math>. Операція <<< — циклічний зсув вліво на 3 [[біт]]и всередині кожного [[байт]]а ключа. |
||
Константа <math>c_{i}</math> |
Константа <math>c_{i}</math> тримується із формули <math>c_{ij} = 45^{45^{((9i+j) \mbox{ mod } 256) }\mbox{ mod } 257} \mbox{ mod } 257</math>, де j — номер байта константи <math>c_{i}</math>. |
||
Слабкість цього алгоритму полягала в тому, що майже для кожного ключа знайдеться не менше одного (іноді навіть 9) іншого ключа, який при [[шифрування|шифруванні]] якогось іншого повідомлення дає нам той же самий шифрований текст, тобто <math>F(M_1,K_1) = F(M_2,K_2)</math>. Кнудсен встановив, що число різних відкритих текстів, які шифруються однаковими шифротекстами, приблизно <math>2^{22}</math> — <math>2^{28}</math> із можливих <math>2^{64}</math> текстів. У підсумку за допомогою аналізу від <math>2^{44}</math> до <math>2^{47}</math> відкритих текстів можна знайти 8 біт вихідного ключа, що складається з 64 біт. Потім цей алгоритм був вдосконалений самим Кнудсеном до [[SAFER]] SK-64<ref name="Алгоритмы шифрования" |
Слабкість цього алгоритму полягала в тому, що майже для кожного ключа знайдеться не менше одного (іноді навіть 9) іншого ключа, який при [[шифрування|шифруванні]] якогось іншого повідомлення дає нам той же самий шифрований текст, тобто <math>F(M_1,K_1) = F(M_2,K_2)</math>. Кнудсен встановив, що число різних відкритих текстів, які шифруються однаковими шифротекстами, приблизно <math>2^{22}</math> — <math>2^{28}</math> із можливих <math>2^{64}</math> текстів. У підсумку за допомогою аналізу від <math>2^{44}</math> до <math>2^{47}</math> відкритих текстів можна знайти 8 біт вихідного ключа, що складається з 64 біт. Потім цей алгоритм був вдосконалений самим Кнудсеном до [[SAFER]] SK-64<ref name="Алгоритмы шифрования"/>. |
||
Існує жарт, що SK розшифровується як Stop Knudsen, або в перекладі «Зупинити Кнудсена». Він з'явився внаслідок того, що новий алгоритм робив атаку Кнудсена безуспішною. Насправді, SK розшифровується як Strengthened Key Schedule, що означає «Посилене розширення ключа». |
Існує жарт, що SK розшифровується як Stop Knudsen, або в перекладі «Зупинити Кнудсена». Він з'явився внаслідок того, що новий алгоритм робив атаку Кнудсена безуспішною. Насправді, SK розшифровується як Strengthened Key Schedule, що означає «Посилене розширення ключа». |
||
=== Атака на шифр [[SQUARE]] === |
=== Атака на шифр [[SQUARE]] === |
||
У 1997 році Ларс Кнудсен разом зі своїми колегами [[Йоан Даймен|Йоаном Дайменом]] ({{lang-en|Joan Daemen}}) і [[Вінсент Реймен|Вінсентом Рейменом]] ({{lang-en|Vincent Rijmen}}) розробили атаку на |
У 1997 році Ларс Кнудсен разом зі своїми колегами [[Йоан Даймен|Йоаном Дайменом]] ({{lang-en|Joan Daemen}}) і [[Вінсент Реймен|Вінсентом Рейменом]] ({{lang-en|Vincent Rijmen}}) розробили атаку на блочний шифр [[SQUARE]]<ref>{{cite paper | author = Joan Daemen, Lars Knudsen and Vincent Rijmen | title = The block cipher Square | date = [[1997]] | url = http://www.springerlink.com/content/487077161h1588t4/fulltext.pdf | format = [[PDF]]/[[PostScript]] }}{{Недоступне посилання}}</ref>. Сам алгоритм складався із 6 раундів, що включають 4 операції, [[лінійне перетворення]] рядків, нелінійну заміну байт, [[Транспонована матриця|транспонування]] і складання з ключем. Вони вибрали атаку на основі підібраного відкритого тексту. Основна ідея полягала в виборі наборів тексту. Було виявлено, що з 256 обраних відкритих текстів знайдуться два, які однозначно визначать ключ шифрування із переважним успіхом, якби шифр складався із 4 раундів. Потім атака була продовжена на 5 і 6 раунди й успішно завершена, хоча й була неможлива через відсутність сучасних технологій. Тим не менш, вона вважалася актуальною, так як вона вважалася однією з найшвидших<ref name="Алгоритмы шифрования">{{Cite web |url=https://books.google.com.ua/books?id=Ha4AVrH9lSwC&pg=PA404&lpg=PA404&dq=Кнудсен%2C+Ларс&source=bl&ots=tqOEkw8GRU&sig=lFmiEO_ci3vCYoJq4deH2MpSCKI&hl=uk&sa=X&ved=0ahUKEwje19qMlLPaAhXJJFAKHaf_AXQQ6AEIdTAP#v=onepage&q=Кнудсен%2C%20Ларс&f=false |title=Алгоритмы шифрования. Специальный справочник |accessdate=14 березня 2022 |archive-date=12 квітня 2018 |archive-url=https://web.archive.org/web/20180412082640/https://books.google.com.ua/books?id=Ha4AVrH9lSwC&pg=PA404&lpg=PA404&dq=Кнудсен,+Ларс&source=bl&ots=tqOEkw8GRU&sig=lFmiEO_ci3vCYoJq4deH2MpSCKI&hl=uk&sa=X&ved=0ahUKEwje19qMlLPaAhXJJFAKHaf_AXQQ6AEIdTAP#v=onepage&q=Кнудсен%2C%20Ларс&f=false }}</ref>. |
||
=== |
=== Геш-функція, заснована на блочному шифрі === |
||
У своїй статті «Hash functions based on block ciphers and quaternary codes»<ref>{{ |
У своїй статті «Hash functions based on block ciphers and quaternary codes»<ref>{{cite paper | author = Lars Knudsen and Bart Preneel | title = Hash functions based on block ciphers and quaternary codes | date = [[1996]] | url = http://www.springerlink.com/content/dp82rw57405ht238/fulltext.pdf | format = [[PDF]]/[[PostScript]] }}{{Недоступне посилання}}</ref> («Хеш-функції, засновані на блочних шифрах і четвертинних кодах») Ларс Кнудсен показав, що розробка ефективної [[хеш-функція|хеш-функції]] з мінімальною вбудованою пам'яттю на основі m — бітного блочного шифру є важким завданням. Більш того, жодна з розглянутих ним геш — функцій не забезпечувала захисту краще, ніж 2<sup>m</sup>, яку одержано методом «грубої сили». Змінюючи трохи модель (наприклад, шляхом збільшення розміру внутрішньої пам'яті, а також шляхом введення вихідних перетворень), можна отримати [[функція|функцію]] стиснення і, таким чином, [[геш-функція|геш-функцію]], для якої безпека може бути доведена на основі ймовірних припущень, сформульованих Кнудсеном. Пропонований ним метод був найкращим на той момент (а саме швидкість [[шифрування]], рівна 1/4 або 4 для [[гешування]] одного блоку), так і забезпечував високий рівень безпеки, або більш високу [[ефективність]] при тих же рівнях безпеки. Для великого значення вбудованої пам'яті, швидкості близькі до тих, які можуть бути отримані. Крім того, [[геш-функція]] забезпечує високий ступінь [[паралелізм]]у, яка дасть ще більш ефективну реалізацію<ref name="Алгоритмы шифрования"/>. |
||
== Примітки == |
== Примітки == |
||
Рядок 88: | Рядок 88: | ||
* {{cite book|author = Matt Henricksen and Lars R. Knudsen| title = Cryptanalysis of the CRUSH Hash Function }} |
* {{cite book|author = Matt Henricksen and Lars R. Knudsen| title = Cryptanalysis of the CRUSH Hash Function }} |
||
* {{cite book|author = Lars R. Knudsen and Tadayoshi Kohno| title = Analysis of RMAC }} |
* {{cite book|author = Lars R. Knudsen and Tadayoshi Kohno| title = Analysis of RMAC |year = 1991|url = https://archive.org/details/biostor-106755}} |
||
* {{cite book|author = Lars Knudsen and [[Bart Preneel]]| title = Hash functions based on block ciphers and quaternary codes }} |
* {{cite book|author = Lars Knudsen and [[Барт Пренель|Bart Preneel]]| title = Hash functions based on block ciphers and quaternary codes }} |
||
* {{cite book|author = Lars Knudsen and Chris J Mitchell| title = Analysis of 3gpp-MAC and two-key 3gpp-MAC }} |
* {{cite book|author = Lars Knudsen and Chris J Mitchell| title = Analysis of 3gpp-MAC and two-key 3gpp-MAC }} |
||
* {{cite book|author = Joan Daemen, Lars Knudsen and Vincent Rijmen| title = The block cipher Square }} |
* {{cite book|author = Joan Daemen, Lars Knudsen and Vincent Rijmen| title = The block cipher Square }} |
||
== Посилання == |
== Посилання == |
||
[https://books.google.com.ua/books?id=Ha4AVrH9lSwC&pg=PA404&lpg=PA404&dq= |
[https://books.google.com.ua/books?id=Ha4AVrH9lSwC&pg=PA404&lpg=PA404&dq=Кнудсен,+Ларс&source=bl&ots=tqOEkw8GRU&sig=lFmiEO_ci3vCYoJq4deH2MpSCKI&hl=uk&sa=X&ved=0ahUKEwje19qMlLPaAhXJJFAKHaf_AXQQ6AEIdTAP#v=onepage&q=Кнудсен%2C%20Ларс&f=false Алгоритмы шифрования. Специальный справочник] {{Webarchive|url=https://web.archive.org/web/20180412082640/https://books.google.com.ua/books?id=Ha4AVrH9lSwC&pg=PA404&lpg=PA404&dq=Кнудсен,+Ларс&source=bl&ots=tqOEkw8GRU&sig=lFmiEO_ci3vCYoJq4deH2MpSCKI&hl=uk&sa=X&ved=0ahUKEwje19qMlLPaAhXJJFAKHaf_AXQQ6AEIdTAP#v=onepage&q=Кнудсен%2C%20Ларс&f=false |date=12 квітня 2018 }} |
||
{{Бібліоінформація}} |
|||
{{DEFAULTSORT:Кнудсен, Ларс}} |
|||
[[Категорія:Криптографи]] |
[[Категорія:Криптографи]] |
||
[[Категорія:Данські математики]] |
[[Категорія:Данські математики]] |
Поточна версія на 10:04, 18 грудня 2022
Ларс Рамкільд Кнудсен | |
---|---|
Lars Ramkilde Knudsen | |
Народився | 21 лютого 1962 (62 роки) |
Країна | Королівство Данія |
Діяльність | криптолог, інформатик, професор |
Alma mater | Оргуський університет |
Галузь | математика |
Заклад | Данський технічний університет[1] Берґенський університет |
Науковий керівник | Ivan Damgårdd |
Аспіранти, докторанти | Søren Steffen Thomsend[2] Christian Rechbergerd[2] Martin M. Lauridsend[2] |
Нагороди | |
Особ. сторінка | www2.mat.dtu.dk/people/Lars.R.Knudsen/ |
Ларс Кнудсен у Вікісховищі |
Ларс Рамкільд Кнудсен (англ. Lars Ramkilde Knudsen) (21 лютого 1962) — данський математик і дослідник в області криптографії, професор кафедри математики в Данському технічному університеті. Його дослідження включають в себе розробку й аналіз блочних шифрів, геш-функцій і кодів автентичності повідомлень (MACs).
Кнудсен — один із засновників криптоаналізу неможливих диференціалів і інтегрального криптоаналізу. Ларс є одним з розробників Grøstl.
Ларс Кнудсен народився 21 лютого 1962 року в Данії. Після короткотривалої роботи в банківській сфері, в 1984 році Ларс вступив в Орхуський університет (англ. Aarhus University). Вивчав математику й інформатику, за порадою свого наукового керівника Айвана Б'єрре Дамгарда (англ. Ivan Bjerre Damgard). За словами Ларса, саме завдяки своєму науковому керівнику, він зробив вибір на користь вивчення диференціального криптоаналізу.
У 1992 році отримав ступінь магістра, а вже в 1994 — ступінь доктора філософії[3]. З 1997 по 2001 рік працював в Бергенському університеті, Норвегія. Був двічі обраний директором Міжнародної асоціації криптографічних досліджень (IACR) з січня 2001 року по грудень 2003 року та з січня 2004 року по грудень 2006 року. З 2003 по 2010 рік був помічником редактора журналу з криптології, що є офіційним журналом IACR. Виступав на конференціях і семінарах IACR. Його доповіді прослуховували на 7 наукових конференціях. В даний момент Кнудсен — професор, завідувач кафедри математики в Данському технічному університеті. Очолює групу криптоаналітиків університету і є одним із розробників шифрів, криптографічних протоколів IEEE з криміналістики й безпеки. Один з керівників дослідного центру FICS (Foundations in Cryptology and Security).
Ларс Кнудсен брав активну участь в конкурсі на новий криптостандарт AES. На конкурсі він був єдиним криптоаналітиком, який представляв відразу два проекти: DEAL (Норвегія, Канада) і Serpent (Велика Британія, Ізраїль, Норвегія). Казус з тією обставиною, що Кнудсен всюди фігурує як представник Норвегії, пояснюється надзвичайною мобільністю данського вченого, оскільки за кілька останніх років перед конкурсом він встиг попрацювати у Франції, Швейцарії і Бельгії. На момент проведення конкурсу AES Ларс викладав криптологію в університет Бергена, Норвегія.
Відомо також, що його число Ердеша дорівнює 3.
У всьому світі Ларс Кнудсен відомий завдяки знаменитим атакам на шифри SAFER і SQUARE, його роботам з криптоаналізу неможливих диференціалів та інтегрального криптоаналізу. Кнудсен вперше запропонував використовувати усічені диференціали для атак на 6-раундовий DES. Надалі цей метод був використаний і для атак на Skipjack і SAFER із усіченим числом раундів. Також Ларс розробив шифри DEAL і Serpent (останній разом з англійцем Россом Андерсоном і ізраїльтянином Елі Біхамом). Ще однією розробкою Кнудсена є Grøstl, геш-функція, один з п'яти фіналістів конкурсу NIST SHA-3.
Інтегральний криптоаналіз — це вид криптоаналізу, який частково можна застосовувати для атак на блочні шифри, засновані на підстановлювально-перестановлювальних мережах. Він був сформульований Ларсом Кнудсеном в процесі пошуку атаки на шифр SQUARE, тому в літературі його часто називають Square-атакою. Метод був розширений і застосований на подібні з Square шифри CRYPTON, Rijndael, і SHARK. Модифікації Square-атаки також були застосовані до шифрів Hierocrypt-L1, IDEA, Camellia, Skipjack, MISTY1, MISTY2, SAFER ++, KHAZAD і FOX (зараз званий IDEA NXT[en]).
Інтегральний криптоаналіз, побудований на принципі розгляду набору відкритих текстів, в яких одна частина залишається константою, а друга варіюється усіма можливими способами. Наприклад, атака може використовувати набір із 256 відкритих текстів, в яких всі, крім 8 біт, варіюються. Очевидно, що XOR цього набору дорівнює нулю. XOR відповідного набору шифротексту дає нам інформацію про роботу алгоритму шифрування. Такий метод використання великого набору відкритих текстів замість пари, як в диференціальному криптоаналізі, дав назву «інтегральний».
Криптоаналіз неможливих диференціалів є різновидом диференціального криптоаналізу, застосованого до блочних шифрів. У звичайному диференціальному криптоаналізі розглядається різниця, що має деяку кінцеву ймовірність, в криптоаналізі неможливих диференціалів — різниця, що має ймовірність 0, тобто «неможлива».
Ця методика була вперше описана Ларсом Кнудсеном в заявці на конкурс AES по шифру DEAL. Назву методиці дали Елі Біхам, Алекс Бірюков і Аді Шамір на конференції CRYPTO'98.
Цей метод знайшов широке застосування і був використаний в атаках на шифри IDEA, Khufu і Khafre, E2, різновиди Serpent, MARS, Twofish, Rijndael, CRYPTON, Zodiac (cipher)[en], Hierocrypt-3, TEA, XTEA, Mini-AES, ARIA, Camellia, і SHACAL-2[4].
SAFER K-64 є ітеративно блочним шифром. Алгоритм працює з 64-бітовим блоком і 64-бітових ключем. Кнудсен виявив слабке місце в розподілі ключів. Їх генерація в алгоритмі була зовсім важкою. Першим підключитися має сам ключ користувача. Наступні підключення генеруються процедурою . Операція <<< — циклічний зсув вліво на 3 біти всередині кожного байта ключа.
Константа тримується із формули , де j — номер байта константи . Слабкість цього алгоритму полягала в тому, що майже для кожного ключа знайдеться не менше одного (іноді навіть 9) іншого ключа, який при шифруванні якогось іншого повідомлення дає нам той же самий шифрований текст, тобто . Кнудсен встановив, що число різних відкритих текстів, які шифруються однаковими шифротекстами, приблизно — із можливих текстів. У підсумку за допомогою аналізу від до відкритих текстів можна знайти 8 біт вихідного ключа, що складається з 64 біт. Потім цей алгоритм був вдосконалений самим Кнудсеном до SAFER SK-64[4].
Існує жарт, що SK розшифровується як Stop Knudsen, або в перекладі «Зупинити Кнудсена». Він з'явився внаслідок того, що новий алгоритм робив атаку Кнудсена безуспішною. Насправді, SK розшифровується як Strengthened Key Schedule, що означає «Посилене розширення ключа».
У 1997 році Ларс Кнудсен разом зі своїми колегами Йоаном Дайменом (англ. Joan Daemen) і Вінсентом Рейменом (англ. Vincent Rijmen) розробили атаку на блочний шифр SQUARE[5]. Сам алгоритм складався із 6 раундів, що включають 4 операції, лінійне перетворення рядків, нелінійну заміну байт, транспонування і складання з ключем. Вони вибрали атаку на основі підібраного відкритого тексту. Основна ідея полягала в виборі наборів тексту. Було виявлено, що з 256 обраних відкритих текстів знайдуться два, які однозначно визначать ключ шифрування із переважним успіхом, якби шифр складався із 4 раундів. Потім атака була продовжена на 5 і 6 раунди й успішно завершена, хоча й була неможлива через відсутність сучасних технологій. Тим не менш, вона вважалася актуальною, так як вона вважалася однією з найшвидших[4].
У своїй статті «Hash functions based on block ciphers and quaternary codes»[6] («Хеш-функції, засновані на блочних шифрах і четвертинних кодах») Ларс Кнудсен показав, що розробка ефективної хеш-функції з мінімальною вбудованою пам'яттю на основі m — бітного блочного шифру є важким завданням. Більш того, жодна з розглянутих ним геш — функцій не забезпечувала захисту краще, ніж 2m, яку одержано методом «грубої сили». Змінюючи трохи модель (наприклад, шляхом збільшення розміру внутрішньої пам'яті, а також шляхом введення вихідних перетворень), можна отримати функцію стиснення і, таким чином, геш-функцію, для якої безпека може бути доведена на основі ймовірних припущень, сформульованих Кнудсеном. Пропонований ним метод був найкращим на той момент (а саме швидкість шифрування, рівна 1/4 або 4 для гешування одного блоку), так і забезпечував високий рівень безпеки, або більш високу ефективність при тих же рівнях безпеки. Для великого значення вбудованої пам'яті, швидкості близькі до тих, які можуть бути отримані. Крім того, геш-функція забезпечує високий ступінь паралелізму, яка дасть ще більш ефективну реалізацію[4].
- ↑ Montenegro A. ORCID Public Data File 2023 — 2023. — doi:10.23640/07243.24204912.V1
- ↑ а б в Математичний генеалогічний проєкт — 1997.
- ↑ Lars Knudsen. Block Cipher — Analysis, Design and Applications, Ph.D. Thesis, 1994. (PDF). — . Архівовано з джерела 10 липня 2007. Процитовано 2009-11-26.
- ↑ а б в г Алгоритмы шифрования. Специальный справочник. Архів оригіналу за 12 квітня 2018. Процитовано 14 березня 2022.
- ↑ Joan Daemen, Lars Knudsen and Vincent Rijmen. The block cipher Square (PDF/PostScript). — .[недоступне посилання]
- ↑ Lars Knudsen and Bart Preneel. Hash functions based on block ciphers and quaternary codes (PDF/PostScript). — .[недоступне посилання]
- Matt Henricksen and Lars R. Knudsen. Cryptanalysis of the CRUSH Hash Function.
- Lars R. Knudsen and Tadayoshi Kohno (1991). Analysis of RMAC.
- Lars Knudsen and Bart Preneel. Hash functions based on block ciphers and quaternary codes.
- Lars Knudsen and Chris J Mitchell. Analysis of 3gpp-MAC and two-key 3gpp-MAC.
- Joan Daemen, Lars Knudsen and Vincent Rijmen. The block cipher Square.
Алгоритмы шифрования. Специальный справочник [Архівовано 12 квітня 2018 у Wayback Machine.]