Об алгоритмической реализации s-боксов $16\times16$ со структурами ARX и «Бабочка»

Предложены способы алгоритмической реализации новых s-боксов размера $16\times16$ бит, вычислительная сложность и криптографические характеристики которых улучшены по сравнению со способами, исследованными ранее. Первый способ реализует s-боксы на основе ARX (Add-Rotate-Xor)-структуры; второй — на основе структуры «Бабочка» с использованием нелинейных подстановочных s-боксов размера $8\times8$ бит. Максимальная разностная характеристика (МРХ) предложенных s-боксов с ARX-структурой равна $18/2^{16}$, со структурой «Бабочка» — $10/2^{16}$. Максимальная линейная характеристика (МЛХ) s-боксов с ARX-структурой равна $764/2^{15}$, со структурой «Бабочка» — $512/2^{15}$. Минимальная степень нелинейности среди всех нетривиальных линейных комбинаций координатных функций предложенных s-боксов равна $15$. Установлено, что использование предложенных s-боксов размера $16\times16$ бит в раундовых подстановках алгоритмов AES и «Кузнечик» позволяет улучшить их некоторые криптографические свойства. Для усечённых алгоритмов AES и «Кузнечик», реализующих несколько раундов шифрования, существенно снижены верхние оценки МРХ и МЛХ по сравнению с версиями алгоритмов, использующих штатные s-боксы.