MODERN BLOK ŞİFRELEME ALGORİTMALARININ GÜCÜNÜN İNCELENMESİ

Transkript

1 MODERN BLOK ŞİFRELEME ALGORİTMALARININ GÜCÜNÜN İNCELENMESİ Andaç ŞAHİN, Ercan BULUŞ, M. Tolga SAKALLI Bilgisayar Mühendisliği Bölümü, Mühendislik-Mimarlık Fakültesi, Trakya Üniversitesi, Edirne Anahtar sözcükler: AES (Advanced Encryption Standard), Kriptanaliz ÖZET Blok şifreler modern şifreleme algoritmaları için oldukça önemlidir. Bundan dolayı veri iletişimindeki güvenlik düşünüldüğünde şifreleme algoritmalarının gücü oldukça önemli bir kriterdir. Diğer yandan, blok şifreler onlara gücünü veren önemli özelliklere sahiptir. Bu çalışmada blok şifrelerin gücünün detaylı bir analizini sunduk ve bu amacı gerçekleştirmek için AES (Rijndael) algoritması da incelendi. Anahtar Kelimeler: AES (Advanced Encryption Standard), Kriptanaliz ABSTRACT Block ciphers are very important for modern encryption algorithms. Because of that, their strength is very important criterion when we think of security in data communication. On the other hand, block ciphers have some important properties which give their strength to them. In our study we have presented a detailed analysis for the strength of block ciphers and also studied AES (Rijndael) algorithm to achieve this aim. KeyWords: AES (Advanced Encryption Standard), Cryptanalysis 1.GİRİŞ Bir kriptosistem, şifreleme algoritması, açık metin, şifreli metin ve anahtardan oluşmaktadır. Şifreleme algoritmaları kriptosistemin en önemli parçasıdır. Temel olarak şifreleme algoritmalarını simetrik, asimetrik ve hash algoritmaları olarak üç gruba ayırabiliriz. Bu şifreleme algoritmalarından simetrik algoritmalar şifreleme ve deşifreleme işlemlerinde aynı anahtarı, gizli anahtarı, kullanır. Diğer yandan kriptografide blok şifreleme ve akış (stream) şifreleme olmak üzere iki temel simetrik algoritma tipi vardır. Bunlardan blok şifreleme, orijinal metni veya şifreli metni bloklara bölerek şifreleme/deşifreleme işlemini yapar. Akış şifrelemede ise bir bit veya byte üzerinde şifreleme ve deşifreleme işlemleri yapılır. Blok şifreleme algoritmalarına, SPN [1,2,4] (Substitution-Permutation Network), DES [3,5] (Data Encryption Standard), AES [6,11] (Advanced Encryption Standard), FEAL [19] örnek verilebilir. Blok şifreleme algoritmalarının gücü söz konusu olduğunda algoritmada kullanılan S kutuları, döngü sayısı, anahtarların XOR işlemine sokulması, blok uzunluğu, anahtarın uzunluğu ve özelliği büyük önem taşımaktadır. Shannon şifreleme algoritmasının gücü için blok uzunluğunun en azından anahtar uzunluğuna eşit olması gerekir demiştir. Ayrıca kullanılacak anahtarın rastlantısal olması da gerekir. Diğer yandan algoritmaya yapılan saldırılara karşı dayanıklılıkta günümüz algoritmalarının gücünün ölçülmesinde bir kıstas olmuştur. Bu saldırılara örnek olarak lineer kriptanaliz [9], diferansiyel kriptanaliz [10], ilişkili anahtar saldırısı [3] verilebilir. Ayrıca bu saldırılar bazı koşullar altında geliştirilerek daha farklı saldırı türleri de ortaya çıkmıştır. Bunlara örnek olarak imkansız diferansiyel kriptanaliz [11,12] verilebilir. Genel olarak bakıldığında bir saldırı için üç parametre önemlidir. Bunlar veri, veri alanı ve zamandır. Bu parametreler blok şifreler için üç temel saldırıyı ortaya çıkarır. Bunlar sözlük saldırısı (dictionary attack) kodkitabı saldırısı (codebook attack) ve tüm anahtarların denenerek doğru anahtarın arandığı geniş anahtar arama saldırısı (exhaustive key search) olarak özetlenebilir. Çalışmamızda günümüzde modern şifreleme algoritmalarındaki güç incelenmiştir. Bu algoritmalara kuvvetli denebilmesi için gerekli olan kıstasların neler olabileceği ve günümüzde önemli bir şifreleme algoritması olan AES algoritmasının tasarlanırken ne gibi aşamalardan geçtiği de araştırılmıştır. 2. BLOK ŞİFRELEME Blok şifreler [4], Shannon un önerdiği karıştırma (confusion) ve yayılma (diffusion) tekniklerine dayanır. şifreli metin ve açık metin arasındaki ilişkiyi gizlemeyi amaçlarken, yayılma açık metindeki izlerin

2 şifreli metinde sezilmemesini sağlamak için kullanılır. ve yayılma, sırasıyla yerdeğiştirme ve lineer transformasyon işlemleri ile gerçeklenir. Feistel ağları ve -Permütasyon ağları olmak üzere iki ana blok şifreleme mimarisi vardır. Her ikisi de yerdeğiştirme ve lineer transformasyonu kullanır. Ayrıca her iki mimari ürün şifrelerinin örneklerindendir. Yani birden fazla şifreleme işleminin birleşmesi ile oluşturulurlar. Tekrarlanan şifreler yine ürün şifreleridir ve aynı şifreleme adımının tekrarlanan uygulamasını içerir ve her şifreleme adımına döngü denir. Bir döngü birden fazla şifreleme adımı içerebilir. Genellikle her döngüde farklı anahtar materyali kullanılır. 3. BLOK ŞİFRELEME ALGORİTMALARININ ÖNEMLİ ÖZELLİKLERİ 3.1 Anahtar Blok şifreleme algoritmalarında anahtarın uzunluğu yada bit sayısı en temel saldırı olan geniş anahtar arama saldırısına karşın güçlü olmalıdır. Örneğin DES algoritması 56-bit anahtar kullanırken AES, algoritması DES in bu zaafını örter niteliktedir ve 128, 192, 256 bit anahtar seçenekleri mevcuttur. Ayrıca anahtarın rastlantısal olması gerekmektedir. 3.2 Döngü Sayısı Blok şifreleme algoritmalarında döngü sayısı iyi seçilmek zorundadır. Çünkü lineer transformasyon ve yerdeğiştirmelerin bu seçilen değerle algoritmaya yeterli gücü vermesi gerekmektedir. Ayrıca yapılan saldırıların başarısız olması için en önemli şartlardan biridir. Bu sayı için herhangi bir teorik hesaplama olmamasına rağmen Lars Knudsen e göre kabaca döngü sayısı r >= dn/w (1) (1) deki gibi olmalıdır. Burada r döngü sayısını, d yerdeğiştirme durumuna bir word ü almak için gerekli maksimum döngü sayısını, n blok genişliğini, w ise tüm şifrede yerdeğiştirme durumuna giriş olan minimum word genişliğini temsil etmektedir. (1) de yayılma tekniği ihmal edilmiştir. Şekil 1, Lars Knudsen e göre bazı algoritmaların döngü sayılarının neler olması gerektiğini göstermektedir. Algoritma Döngü sayısı [7] e göre olması gereken döngü sayısı DES IDEA 8 8 Blowfish AES(Rijndael) Şekil-1. Bazı Şifreleme Algoritmaları için Döngü Sayıları 3.3 S kutuları S kutuları bir blok şifreleme algoritmasının en önemli ana elemanıdır. Çünkü algoritmadaki tek non-lineer yapıdır ve dolayısıyla algoritmaya gücünü vermektedir. S kutuları için üç önemli nokta vardır. Bunların belirlenmesinde lineer kriptanaliz, diferansiyel kriptanaliz, Davies [14] saldırıları etkili olmuştur. Bunlar; SAC (Strict Avalance Criteria); 1 bit giriş değişimi sonucunda her çıkış bitinin değişme olasılığı ½ olur. S kutularının genişliği; Kriptanaliz saldırıları düşünüldüğünde büyük bir kutu küçüğüne oranla daha iyi olacaktır. Ayrıca diferansiyel saldırılardan korunmak için büyük sayıda çıkış bitleri ve lineer saldırılardan korunmak için büyük sayıda giriş bitleri gereklidir. S kutusu gereksinimleri; Çıkışların dağılımları Davies saldırısına karşın kontrol edilmeli, çıkışlar girişe göre lineer olmamalı, S kutusunun her sırasındaki değerler tek olmalıdır. Daha güçlü S kutuları yaratmak için çeşitli çalışmalar da yapılmıştır [15,20,21,22]. 4. BLOK ŞİFRELEME ALGORİTMALARINA YÖNELİK SALDIRI TİPLERİ 4.1 Temel Saldırılar Blok uzunluğu n bit olan ve k bit anahtar uzunluğuna sahip bir blok şifresi için en temel saldırılardan biri sözlük saldırısıdır. Bu saldırıda k bitlik anahtarı kullanan saldırgan bir açık metni mümkün 2 k anahtarla şifreler ve şifreli metinleri sıralı bir sözlükte tutar. Daha sonra gizli anahtarla şifrelenmiş seçilmiş bir açık metni elde eder ve uygun bir eşleşmeyi sözlükten kontrol eder. Sözlükte arama ihmal edilebilir fakat saldırı için 2 k tane n-bit bellek word ü gerekmektedir. Bu yüzden bu saldırı pahalı bir saldırı olarak nitelenebilir.

3 Diğer bir saldırı türü olan kodkitabı saldırısında saldırgan 2 n mümkün açık metnin gizli bir anahtar ile şifrelenmiş şifreli metinlerini elde eder ve bunları bir tabloya (kodkitabı) depolar. Bir şifreli metin için bekler ve elde ettiği gibi bu şifreli metni tablodakiler ile karşılaştırarak açık metni elde eder. Saldırı 2 n açık metin ve 2 n bellek word ü gerektirir. Bu saldırı türü de pahalı bir saldırı türüdür. Geniş anahtar arama saldırısında ise 2 k olası anahtar denenerek şifreli metinden anlamlı bir açık metin elde edilince saldırı tamamlanır. 2 k olası deneme her ne kadar mümkün görünmese de zaman karmaşıklığı veri ve alan karmaşıklığından daha ucuz olarak düşünülmektedir. Eğer bir kriptanaliz saldırısı geniş anahtar aramadan daha az efor ile blok şifreyi kırarsa bu saldırı başarılı bir saldırı olarak görülebilir. 4.2 Gelişmiş Saldırılar Bu tür saldırılar metematiksel bir fikrin kullanılması ile geliştirilmişlerdir. Bu saldırılara örnek olarak lineer kriptanaliz, diferansiyel kriptanaliz, kesik diferansiyel kriptanaliz, imkansız diferansiyel kriptanaliz verilebilir Lineer Kriptanaliz 1993 yılında Matsui [9] tarafından teorik bir saldırı olarak keşfedilmiştir. Daha sonra DES algoritmasına karşı başarı ile uygulanmıştır. Lineer kriptanaliz, şifreli metin bitleri ile açık metin bitleri arasındaki yüksek olasılıkta lineer ifadelerin meydana gelme avantajını kullanır. Bunun yolu da S kutularından geçer. Saldırganın algoritmayı bildiği (Kerchoffs kuralı) ve belli sayıda açık metin ve şifreli metinlere sahip olduğu varsayılır. S kutularının büyüklüğü, aktif S kutularının (lineer ifade içinde olan) sayısının artışı ve lineer sapması (1/2 den + veya -) küçük S kutularının tasarımı lineer kriptanalizin uygulanmasını engelleyici faktörlerdir Diferansiyel Kriptanaliz 1991 yılında Biham [10] tarafından keşfedilmiştir. Lineer kriptanalize benzemektedir. Farkı seçilmiş açık metin saldırısı olmasıdır. Saldırı şöyle açıklanabilir. Elimizde açık metin/şifreli metin çiftleri (x 1, x 2, y 1, y 2 ) olsun ve x = x 1 x 2 sabit şekilde seçilmiş olsun. Saldırgan bir çok sayıda bu açık metin/şifreli metin çiftlerini üretir ve x farkına karşılık algoritmadan yüksek olasılıkta meydana gelen u (son döngüdeki S kutusundan önceki durum bitleri) farkını bulduktan sonra her açık/şifreli metin çiftleri için olası anahtar değerlerini dener ve u farkını tutması durumunda sayaç değerini o anahtar değeri için 1 arttırır. Yüksek olasılığı yakalayan anahtar değeri aranan anahtar olmuş olur. Bu saldırı da S kutularının diferansiyel kriptanalize karşı güçlü olmasını, algoritmanın gücü için, gerekli kılar. Bu saldırılardan doğan kesik diferansiyel kriptanaliz [16], imkansız diferansiyel kriptanaliz [11,12], lineer kriptanalizde çoklu yaklaşımlar [18] ve lineer kriptanalizde nonlineer yaklaşımların kullanılması [17] gibi düzenlenen saldırılar da vardır. 5. AES ALGORİTMASI AES [1,6] (Rijndael) algoritması şu ana kadar bilinen algoritmalar içerisinde en güçlülerinden biridir. Bu gücü nerden aldığını incelemekte fayda vardır. DES (Data Encryption Standard) 1970 li yıllarda IBM ve NSA ile birlikte öne sürüldüğünde 1990 lı yıllara kadar kendini başarı ile savundu. Ancak onun en büyük zaafı 56 bit anahtara sahip olması ayrıca anahtarın bir şekilde daha büyük uzunlukta kullanılabilecek bir yönteminin olmamasıydı. Daha sonraları paralel işlemcili bilgisayarların kullanılması ve geniş anahtar arama saldırısı ile kısa bir zaman içinde kırılması mümkün hale gelmişti. Ayrıca güçlü kriptanaliz saldırılarına karşı da yetersiz kalmaya başlamıştı. DES algoritması Feistel mimarisine sahipti. Yani veri bloğu iki parçaya bölünerek şifreleme işlemi yapılıyordu. Heys, 1994 yılındaki [2] çalışmasında, bir SPN algoritması kullanarak diferansiyel ve lineer kriptanalize karşı güçlü DES algoritmasına eşit güçte bir algoritmayı 8 döngüde sağladı. Bu algoritma 64 bit blok uzunluğunda, 64 bit anahtar ve 8 bit girişli - 8 bit çıkışlı random S kutuları kullanmaktaydı. Bunun yanında S kutularının güçlü hale getirilmesi için bazı çalışmalar da gerçekleştirildi. Random S kutuları, S kutularının sırasını değiştirme, anahtar bağımlı S kutularının sırasını değiştirme, anahtar bağımlı S kutularının transformasyonu ve matematiksel bağlamda saldırılara karşı güçlü S kutuları tasarlanmaya çalışıldı. Nyberg [13] S kutularının tasarlanmasında alan terslerinin (field inverse) kullanılmasını önerdi. Bu çalışmaların yardımıyla da tasarlanan AES algoritmasında feistel mimarisinden yerdeğiştirme-permütasyon mimarisine geçilmiş oldu. 5.1 AES in Tanımı AES (Rijndael) algoritması 128 bit veri bloklarını 128, 192, 256 bit anahtar seçenekleri ile şifreleyen bir algoritmadır. SPN algoritmasının geniş bir çeşididir. Square [24] ve Crypton [25] şifreleri AES benzeri SPN şifrelerdir. Döngü sayısı anahtar genişliğine göre değişmektedir. 128 bit anahtar için 10 döngüde şifreleme yapılırken 192 ve 256 bit anahtarlar için sırasıyla 12 ve 14 döngüde şifreleme yapılmaktadır. AES algoritmasında her döngü dört katmandan oluşur. İlk olarak 128 bit veri 4 4 byte matrisine dönüştürülür. Daha sonra her döngüde sırasıyla byte ların yerdeğiştirmesi, satırları öteleme, sütunları karıştırma ve anahtar

4 planlamadan gelen o döngü için belirlenen anahtar ile XOR lama işlemleri yapılır. ların yerdeğiştirilmesinde 16 byte değerinin her biri 8 bit girişli ve 8 bit çıkışlı S kutusuna sokulur. S kutusu değerleri, Galois alanı nda (Galois Field - GF) GF(2 8 ), 8 bitlik polinom için ters alındıktan sonra lineer bir transformasyona sokularak elde edilmiştir. n ötelenmesi işleminde 4 4 byte matrisinde satırlar ötelenmiş ve sütunların karıştırılması işleminde herhangi bir sütun için o sütundaki değerler karıştırılmıştır. Sütun karıştırma işleminde Galois alanında iki sayının çarpım kavramı kullanılmıştır. Döngünün son katmanında ise o döngüye ait anahtar ile XOR lama yapılmıştır. 16 K Açık Metin (128 Bit) K 1 1. Döngü 2. Döngü K 2 3. Döngü K 3 4. Döngü K 4 5. Döngü K 5 6. Döngü K 6 7. Döngü K 7 K 8 8. Döngü K 9 9. Döngü 10. Döngü K 10 Şifreli Metin Şekil-2. Tüm AES Algoritması (128 bit anahtar için) Algoritmadaki sütunların karıştırılması bir SPN algoritmasına bakıldığında ek bir lineer transformasyon işlemidir. Şekil 2, 10 döngülük AES algoritmasını göstermektedir. AES Algoritmasında S kutularının tasarımında sonlu alanda ters alma işlemi, lineer kriptanaliz için kullanılan lineer yaklaşım tablolarına ve diferansiyel kriptanaliz için kullanılan fark (difference) dağılım tablolarına girişlerin olabildiğince uniforma yakın olmasını sağlarken (diferansiyel ve lineer kriptanalize karşı etkin olması demek), sütun karıştırma (lineer transformasyon) işlemi saldırılarda az sayıda aktif S kutusu (lineer ve diferansiyel kriptanalizde az sayıda olması daha az açık metin/şifreli metin kullanılması demek) kullanmayı imkansız hale getirir. AES algoritmasına, imkansız diferansiyel saldırısı gibi çeşitli saldırlar yapılmıştır. Ancak bu saldırılar azaltılmış döngü sayısına sahip AES algoritmalarına karşı gerçekleştirilmiştir.

5 6. İSTATİSTİK TESTLER Yukarıda anlatılanların dışında bir kriptosistem, şifreli metin üzerinde garip ilişkiler ve sonuçlar vermemelidir. Bundan dolayı kriptosistemin bazı testler karşısında başarılı olması da gerekir. Bunlar sırasıyla; üretilen şifreli metnin rastlantısallığı, şifreli metindeki byte frekansı, özel bit pozisyonlarındaki ve tüm şifreli metindeki 0 ve 1 lerin frekansı ve kappa testi (index of coincidence) olarak söylenebilir. frekansı için yapılan testlerde elden geldiği kadar şifreli metnin 1/256 değerini yakalaması gerekmektedir. Yani byte değerlerinin uniform dağılımı önemlidir. 0 ve 1 lerin bit pozisyonlarında ve sayısıda random özellikler göstermesi de gerekmektedir. Kappa testi ise dosyadaki belirli offsetlerde tekrarlamaları keşfetmek için uygulanır. Bir kriptosistem için anahtarda yapılan 1 bitlik yada byte lık değişimin şifreli metinlerin özel bir yerinde değişime yol açıp açmadığı, aynı şekilde aynı anahtarla açık metindeki 1 bit yada byte değişimin şifreli metinde garipliklere yol açıp açmadığı, tek bir byte ın açık metinde değişikliğe uğratılarak aynı anahtarla şifreleme yapıldığında oluşan şifreli metinlerin birbirleriyle XOR lanarak incelenmesi de kriptosistemin güvenliği için gereklidir [26]. Şekil 3, bir kriptosistem için uygulanabilirliği olan testleri göstermektedir. Kriptosistem için Güvenlik Testleri İstatistik Testleri Tek Bit Değişim Aynı Anahtarla Üretilen Şifreli Metinlerin XOR lanması Raslantısallık Frekansı Bit Kıyaslama Kappa Testi Anahtarda Tek Bit Değişim Açık Metinde Tek Bit Değişim Şekil-3. Bir kriptosistem için uygulanabilirliği olan testler 7. SONUÇ Günümüzde blok şifreleme algoritmaları, şifrelemenin gerektiği bir çok alanda kullanılmaktadırlar. Dolayısıyla bu algoritmaların gücüde güvenlik açısından çok önemlidir. Blok şifreleme algoritmalarının gücü, anahtar uzunluğuna, yapılan saldırılara karşı dayanıklılığına bağlıdır. Bunun yanında saldırıların başarılı sayılabilmesi için geniş anahtar arama saldırısı da bir kıstas olarak kullanılmaktadır. Yani anahtar arama saldırısından daha az maliyete mal olan saldırlar başarılı sayılmaktadır. Dolayısıyla algoritmanın tasarımında kullanılan anahtar yönetimi, yani bir ana anahtardan döngülere giriş olan anahtarlar elde etme yöntemi, S kutuları ve döngü sayısı algoritmanın yapılan saldırılara dayanıklılığını da etkilemektedir. Buna ek olarak algoritmaya yapılan saldırı da kullanılacak açık metin/şifreli metinlerin sayısı da, bir çok gelişmiş saldırı yöntemleri bu verileri gerektirmekte, algoritmanın gücünü ortaya koymaktadır. Her ne kadar yukarıda bahsedilen teknikler geniş anahtar arama saldırısından daha etkili olsa da daha az açık metnin ve şifreli metnin kullanıldığı saldırı yöntemleri geliştirmek gereklidir. AES algoritmasında olduğu gibi yeni saldırı tipleri demek yeni algoritmalarda bu saldırı tiplerinin dikkate alındığı daha güçlü şifreleme algoritmaları demektir. KAYNAKLAR [1] Stinson D. R., Cryptography: Theory and Practice, Second Edition,CRC Press, [2] Heys H., Tavares S., Substitution Permutation Networks Resistant to Differential and Linear Cryptanalysis, JOURNAL OF CRYPTOLOGY,Vol 9, No 1, pp 1-19, [3] Schneier B., Applied Cryptography, Second Edition, John Wiley & Sons, Inc., New York, Ny, [4] Keliher L., Linear Cryptanalysis of Substitution-Permutation Networks, Ph.D. Thesis, [5] FIPS 46-3, Data Encryption Standard, Federal Information Processing Standard (FIPS), Publication 46-3, National Bureau of Standards, U.S. Department of Commerce, Washington D.C., October 25, [6] FIPS 197, Advanced Encryption Standard, Federal Information Processing Standard (FIPS), Publication 197, National Bureau of Standards, U.S. Department of Commerce, Washington D.C., November 26, [7] Knudsen L. R., The Number of Rounds in Block Ciphers, Public Reports of Nessie Project, May 12, [8] Heys H., Avalanche Characteristics of DES-like Ciphers, Proceedings of SAC '96- Workshop on Selected Areas in Cryptography, Queen's University, Kingston, Ontario, Aug

6 [9] Matsui M., Linear Cryptanalysis Method for DES Cipher, Advances in Cryptology EUROCRYPT 93, , [10] Biham E., Shamir A., Differential Cryptanalysis of the full 16-round DES, Advances in Cryptology: Proceedings of CRYPTO 92, Springer-Verlag, Berlin, pp , [11] Raphael C., Phan W., Impossible Differential Cryptanalysis of 7-round Advanced Encryption Standard (AES), Information Processing Letter, ELSEVIER, April 9, [12] Biham E., Keller N., Cryptanalysis of reduced variants of Rijndael, 3 rd AES Conference, 2000, submitted for publication. [13] Nyberg K., Differentially uniform mappings for cryptography, Advances in Cryptology EUROCRYPT 93, Springer-Verlag pp , [14] Biham E., Biryukov A., An Improvement of Davies Attack on DES, JOURNAL OF CRYPTOLOGY, no. 3, [15] Adams C., Tavares S., The Use of Bent Sequences to Achieve Higher-Order Strict Avalanche Criterion in S-Box Design, Technical Report TR (Ontario, Canada) [16] Knudsen L. R., Truncated and Higher Order Differentials, Fast Software Encryption, Springer-Verlag, pp , [17] Knudsen L. R., Robshaw M. J. B., Nonlinear Approximations in Linear Cryptanalysis, Advances in Cryptology CRYPTO 96, Springer-Verlag, pp , [18] Robshaw M. J. B., Kaliski B. S., Linear Cryptanalysis Using Multiple Approximations, Advances in Cryptology CRYPTO 94, Springer-Verlag, pp. 1-11, [19] Miyaguchi S., The FEAL cipher family, Advances in Cryptology-CRYPTO 90 (LNCS 537), , [20] Biham E., Biryukov A., How to Strengthen DES using Existing Hardware, ASIACRYPT: International Conference on the Theory and Application of Cryptology, [21] Kwangjo K., Construction of DES-like S-boxes based on Boolean Functions Satisfying the SAC, ASIACRYPT 91, [22] Adams C., Tavares S., Designing S-boxes, Conclusions. [23] Daemen J., Rijmen V., Answer to new observations on Rijndael, [24] Daemen J., Knudsen L., Rijmen V., The block cipher SQUARE, Fast Software Encryption (FSE 97), LNCS 1267, pp , Springer-Verlag, [25] Lim C. H., CRYPTON: A new 128-bit block cipher, The First Advanced Encryption Standard Candidate Conference, Proceedings, Ventura, California, [26] Cryptosystem ME6.