SQUARE

Алгоритм SQUARE использует ключ длиной 128 бит, данные шифруются 128-битными блоками, однако модульный подход к построению шифра позволяет легко расширить до больших размеров длину ключа и длину блока данных. Один раунд SQUARE состоит из четырёх отдельных преобразований. Данные представляются байтовым квадратом размера 4x4. Основные составляющие этого шифра — это пять различных обратимых преобразований, которые воздействуют на массив байтов размера ${\displaystyle 4\times <!--\; \times \; -->4}$ .^[1]

Преобразования в раунде шифрованияПравить

Линейное преобразование ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$ Править

Линейное преобразование ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  воздействует на каждую строку в квадрате данных. Оно представляется формулой ${\displaystyle b_{i,j}=c_j{a}_{i,0}\oplus <!--\; \oplus \; -->c_{j-<!--\; -\; -->1}{a}_{i,1}\oplus <!--\; \oplus \; -->c_{j-<!--\; -\; -->2}{a}_{i,2}\oplus <!--\; \oplus \; -->c_{j-<!--\; -\; -->3}{a}_{i,3}}$ , где:

• ${\displaystyle a_{i,j}}$  — значение байта, находящегося в ${\displaystyle i}$ -й строке и ${\displaystyle j}$ -м столбце в квадрате данных;
• ${\displaystyle b_{i,j}}$  — новое значение байта в квадрате;
• ${\displaystyle c_n}$  — набор констант;
• умножения выполняются в поле Галуа ${\displaystyle GF(2^8)}$ ;

Важно, что поле ${\displaystyle GF(2^8)}$  имеет характеристику 2, то есть операция сложения соответствует побитовому ${\displaystyle \mathrm{x}\mathrm{o}\mathrm{r}}$ . Каждая ${\displaystyle i}$ -ая строка в квадрате может быть представлена в виде полинома ${\displaystyle a_i(x)=a_{i,0}\oplus <!--\; \oplus \; -->a_{i,1}x\oplus <!--\; \oplus \; -->a_{i,2}{x}^2\oplus <!--\; \oplus \; -->a_{i,3}{x}^3}$ . Тогда, определяя коэффициенты ${\displaystyle c_n}$  как полином ${\displaystyle c(x)={\oplus <!--\; \oplus \; -->}_j{c}_j{x}^j}$ , преобразование ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  можно представить в виде произведения полиномов: ${\displaystyle b_i(x)=c(x)a_i(x)\mathrm{mod}1\oplus <!--\; \oplus \; -->x^4}$ , здесь ${\displaystyle b_i(x)}$  — новое значение строки квадрата, представленное в виде полинома, и ${\displaystyle c(x)=2\oplus <!--\; \oplus \; -->1\cdot <!--\; \cdot \; -->x\oplus <!--\; \oplus \; -->1\cdot <!--\; \cdot \; -->x^2\oplus <!--\; \oplus \; -->3\cdot <!--\; \cdot \; -->x^3}$  . Обратному преобразованию ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$  соответствует полином ${\displaystyle d(x)}$ , определённый по формуле ${\displaystyle c(x)d(x)=1(\mathrm{mod}1)\oplus <!--\; \oplus \; -->x^4}$ .^[2]

Нелинейное преобразование ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$ Править

Данное преобразование является табличной заменой ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$ . Таблица, по которой осуществляется замена:

 

Преобразование ${\displaystyle \mathrm{\pi <!--\; \pi \; -->}}$ 

то есть 0 заменится на B1, 1 — на CE, и так далее.^[1]

Байтовая перестановка ${\displaystyle \mathrm{\pi <!--\; \pi \; -->}}$ Править

Байтовая перестановка осуществляет транспонирование байтового квадрата, то есть ${\displaystyle a_{i,j}=a_{j,i}}$ .

Сложение с ключом раунда ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}[K_i]}$ Править

Эта операция — побитовое сложение 128 бит данных с ключом раунда, ${\displaystyle b=a\oplus <!--\; \oplus \; -->K_i}$ , где:

• ${\displaystyle a}$  и ${\displaystyle b}$  — значение 128 бит данных перед преобразованием и после;
• ${\displaystyle K_i}$  — ключ раунда ${\displaystyle i}$ .^[2]

Процедура получения ключейПравить

Для шифрования необходимо получить 8 128-битных ключей раундов, а также ключ для предварительного раунда из ключа шифрования алгоритма.

 

Процедура ${\displaystyle \mathrm{\psi <!--\; \psi \; -->}}$  получения ключей.

Процедура получения ключа описывается преобразованием ${\displaystyle \mathrm{\psi <!--\; \psi \; -->}:K_{i+1}=\mathrm{\psi <!--\; \psi \; -->}(K_i)}$ , выполняющимся над ключом, представленным, как и блок данных, байтовым квадратом 4x4. Преобразование ${\displaystyle \mathrm{\psi <!--\; \psi \; -->}}$  описывается следующими операциями:

• ${\displaystyle k_{0,i+1}=k_{0,i}\oplus <!--\; \oplus \; -->rotl(k_{3,i})\oplus <!--\; \oplus \; -->C_i}$ ;
• ${\displaystyle k_{1,i+1}=k_{1,i}\oplus <!--\; \oplus \; -->k_{0,i+1}}$ ;
• ${\displaystyle k_{2,i+1}=k_{2,i}\oplus <!--\; \oplus \; -->k_{1,i+1}}$ ;
• ${\displaystyle k_{3,i+1}=k_{3,i}\oplus <!--\; \oplus \; -->k_{2,i+1}}$ ;

где:

• ${\displaystyle k_{n,i}}$  — ${\displaystyle n}$ -я строка байтового квадрата ключа ${\displaystyle i}$ -го раунда;
• ${\displaystyle C_i}$  — константа для ${\displaystyle i}$ -го раунда, вычисляемая по формуле ${\displaystyle C_{i+1}=2\cdot <!--\; \cdot \; -->C_i}$ , ${\displaystyle C_0=1}$ ;
• ${\displaystyle rotl()}$  — операция циклического сдвига байтовой строки на один байт влево: ${\displaystyle rotl[a_{i,0},a_{i,1},a_{i,2},a_{i,3}]=[a_{i,1},a_{i,2},a_{i,3},a_{i,0}]}$ ;

Исходный ключ алгоритма шифрования используется как ключ для предварительного раунда.^[2]

Обозначим один раунд шифрования как ${\displaystyle \mathrm{\rho <!--\; \rho \; -->}[k^t]=\mathrm{\sigma <!--\; \sigma \; -->}[k^t]\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->\mathrm{\gamma <!--\; \gamma \; -->}\circ <!--\; \circ \; -->\mathrm{\theta <!--\; \theta \; -->}}$ . Также, восьми раундам преобразования предшествует сложение с ключом ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}[K_0]}$  и ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ :${\displaystyle \mathrm{S}\mathrm{q}\mathrm{u}\mathrm{a}\mathrm{r}\mathrm{e}[k]=\mathrm{\rho <!--\; \rho \; -->}[k^8]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^7]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^6]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^5]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^4]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^3]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^2]\circ <!--\; \circ \; -->\mathrm{\rho <!--\; \rho \; -->}[k^1]\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[k^0]\circ <!--\; \circ \; -->{\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ .^[2]

Алгоритм расшифрования аналогичен алгоритму шифрования, но вместо преобразований ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$  и ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  используются обратные преобразования ${\displaystyle {\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}}$  и ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ , при этом ${\displaystyle {\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}}$  — это обратная табличная замена, а ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$  — это умножение строки на полином ${\displaystyle d(x)}$  такой, что ${\displaystyle d(x)c(x)=1(\mathrm{mod}1\oplus <!--\; \oplus \; -->x^4)}$ , также в предварительном раунде используется преобразование ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  вместо ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ . Из формулы для шифрования видно, что

${\displaystyle \mathrm{S}\mathrm{q}\mathrm{u}\mathrm{a}\mathrm{r}{\mathrm{e}}^{-<!--\; -\; -->1}[k]=\mathrm{\theta <!--\; \theta \; -->}\circ <!--\; \circ \; -->{\mathrm{\sigma <!--\; \sigma \; -->}}^{-<!--\; -\; -->1}[k^0]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^1]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^2]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^3]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^4]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^5]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^6]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^7]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^8]}$ ,

где ${\displaystyle {\mathrm{\rho <!--\; \rho \; -->}}^{-<!--\; -\; -->1}[k^t]={\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->{\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->{\mathrm{\pi <!--\; \pi \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->{\mathrm{\sigma <!--\; \sigma \; -->}}^{-<!--\; -\; -->1}[k^t]={\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->{\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[k^t]}$ . Так как ${\displaystyle {\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}=\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->{\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}}$ , и, более того, так как ${\displaystyle {\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}(a)\oplus <!--\; \oplus \; -->k^t={\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}(a+\mathrm{\theta <!--\; \theta \; -->}(k^t))}$ , получаем ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}[k^t]\circ <!--\; \circ \; -->{\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}={\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[\mathrm{\theta <!--\; \theta \; -->}(k^t)]}$ . Теперь один раунд для расшифрования можно определить как ${\displaystyle {\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^t]=\mathrm{\sigma <!--\; \sigma \; -->}[k^t]\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->{\mathrm{\gamma <!--\; \gamma \; -->}}^{-<!--\; -\; -->1}\circ <!--\; \circ \; -->{\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ , и полная формула для расшифрования записывается как :

${\displaystyle {\mathrm{S}\mathrm{q}\mathrm{u}\mathrm{a}\mathrm{r}\mathrm{e}}^{-<!--\; -\; -->1}={\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^8]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^7]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^6]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^5]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^4]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^3]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^2]\circ <!--\; \circ \; -->{\mathrm{\rho <!--\; \rho \; -->}}^{\prime }[k^1]\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[k^0]\circ <!--\; \circ \; -->\mathrm{\theta <!--\; \theta \; -->}}$ .^[2]

Исследование криптостойкости создателями алгоритмаПравить

Алгоритм обладает высокой стойкостью против линейного и дифференциального криптоанализа, благодаря преобразованиям ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  и ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$ , которые понижают максимальную вероятность появления дифференциальных следов и максимальную корреляцию линейных следов за 4 раунда преобразований. Первый криптоанализ SQUARE был проведён его авторами с использованием интегрального криптоанализа, который позже стал известен как Square-атака.^[2]

Описание Square-атакиПравить

Прежде всего, введем несколько определений:

Определение 1: Пусть ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество — набор из 256 16-байтовых состояний, каждое из которых отличается от других в некоторых байтах, которые назовём активными, и совпадают в некоторых байтах, которые будем называть пассивными. Далее, ${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}}$  — это набор индексов активных байтов.^[3] Имеем:

${\displaystyle \mathrm{\forall <!--\; \forall \; -->}x,y\in <!--\; \in \; -->\mathrm{\Lambda <!--\; \Lambda \; -->}:\{\begin{array}{l}{x}_{i,j}\ne <!--\; \ne \; -->y_{i,j},for(i,j)\in <!--\; \in \; -->\mathrm{\lambda <!--\; \lambda \; -->}\\ x_{i,j}=y_{i,j},for(i,j)\notin <!--\; \notin \; -->\mathrm{\lambda <!--\; \lambda \; -->}\end{array}}$ .

Определение 2: Если применение операции исключающего «или» ко всем байтам на одной позиции в ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множестве даёт 0, то эта позиция называется уравновешенной по ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множеству.^[3]

Применение преобразований ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$  и ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}[k^t]}$  к ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множеству даёт ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество с тем же ${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}}$ . Применение преобразования ${\displaystyle \mathrm{\pi <!--\; \pi \; -->}}$  даёт ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество, в котором активные байты транспонированы (относительно активных байтов в исходном ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множестве). Также, применение ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  к ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множеству необязательно вернёт ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество, однако, так как каждый выходной байт ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  является линейной комбинацией четырёх входных байт в той же строке, то, подавая строку с всего одним активным байтом, на выходе получим строку состоящую только из активных байт. ^[2] Рассмотрим ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество, в котором только один байт является активным и проследим, как изменяется позиция активного байта в течение трех раундов (здесь предварительный раунд объединён с первым: ${\displaystyle \mathrm{\rho <!--\; \rho \; -->}[k^1]\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[k^0]\circ <!--\; \circ \; -->{\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}}$ , который в итоге записывается как ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}[k^1]\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->\mathrm{\gamma <!--\; \gamma \; -->}\circ <!--\; \circ \; -->\mathrm{\theta <!--\; \theta \; -->}\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[k^0]\circ <!--\; \circ \; -->{\mathrm{\theta <!--\; \theta \; -->}}^{-<!--\; -\; -->1}=\mathrm{\sigma <!--\; \sigma \; -->}[k^1]\circ <!--\; \circ \; -->\mathrm{\pi <!--\; \pi \; -->}\circ <!--\; \circ \; -->\mathrm{\gamma <!--\; \gamma \; -->}\circ <!--\; \circ \; -->\mathrm{\sigma <!--\; \sigma \; -->}[\mathrm{\theta <!--\; \theta \; -->}(k^0)]}$ ). Так как первый раунд не содержит ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$ , то к началу второго раунда остается один активный байт. Во втором раунде ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  преобразует в строку активных байтов, которые ${\displaystyle \mathrm{\pi <!--\; \pi \; -->}}$  преобразует в столбец активных байт. ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  в третьем раунде переводит результат в ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множество, состоящее только из активных байт. Значения байт на выходе третьего раунда пробегают все возможные значения, следовательно, уравновешены по множеству ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ , имеем

${\displaystyle \underset{b=\mathrm{\theta <!--\; \theta \; -->}(a),a\in <!--\; \in \; -->\mathrm{\Lambda <!--\; \Lambda \; -->}}{⨁<!--\; ⨁\; -->}{b}_{i,j}=\underset{a\in <!--\; \in \; -->\mathrm{\Lambda <!--\; \Lambda \; -->}}{⨁<!--\; ⨁\; -->}\underset{k}{⨁<!--\; ⨁\; -->}{c}_{j-<!--\; -\; -->k}{a}_{i,k}=\underset{l}{⨁<!--\; ⨁\; -->}{c}_l\underset{a\in <!--\; \in \; -->\mathrm{\Lambda <!--\; \Lambda \; -->}}{⨁<!--\; ⨁\; -->}{a}_{i,l+j}=\underset{l}{⨁<!--\; ⨁\; -->}{c}_{l}0=0,}$ 

значит байты на выходе ${\displaystyle \mathrm{\theta <!--\; \theta \; -->}}$  в четвёртом раунде уравновешены по ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множеству. Эта уравновещенность нарушается последующим применением ${\displaystyle \mathrm{\gamma <!--\; \gamma \; -->}}$ . Выходные байты четвёртого раунда могут быть выражены с помощью функции от промежуточного состояния ${\displaystyle b}$ : ${\displaystyle a_{i,j}=S_{\mathrm{\gamma <!--\; \gamma \; -->}}[b_{j,i}]\oplus <!--\; \oplus \; -->k_{i,j}^4}$ . Предполагая значение ${\displaystyle k_{i,j}^4}$ , значение ${\displaystyle b_{j,i}}$  для всех элементов ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ -множества могут быть вычислены из шифротекстов. Если значение этого байта оказалось неуравновешенным по ${\displaystyle \mathrm{\Lambda <!--\; \Lambda \; -->}}$ , то предположенное значение ключа ${\displaystyle k_{i,j}^4}$  является ложным. Этот метод криптоанализа позволил взломать 6-раундовый вариант шифра с использованием ${\displaystyle 2^{32}}$  блоков открытого текста и соответствующих им блоков шифротекста и выполнением ${\displaystyle 2^{72}}$  операций шифрования.^[2]

В 2010 году была представлена атака на связанных ключах методом бумеранга. Ранее подобная атака применялась к шифрам KASUMI, COCONUT98, IDEA и AES-192/256. Это была первая атака на полнораундовый SQUARE.^[4] В 2011 году был проведён криптоанализ полнораундового варианта SQUARE с помощью полного двудольного графа. Данный тип атаки позволил взломать шифр с использованием одного ключа, ${\displaystyle 2^{48}}$  открытых текстов и проведения ${\displaystyle 2^{126}}$  операций шифрования.^[5]

Шифр SQUARE создавался, соответствуя стратегии широкого следа — каждый раунд шифра состоит из нескольких преобразований, нелинейной перестановки и композиции линейных преобразований — что дало шифру высокую криптостойкость против линейного и дифференциального криптоанализа. Составляющие блоки алгоритма и их взаимодействие подбирались также исходя из возможности быстрой реализации на широком спектре процессоров.^[6] Реализация алгорима на языке Си имела скорость шифрования 2.63 Мбайт/с, запускаемая на процессоре Pentium с частотой 100 МГц, а реализация на языке Ассемблер увеличивала скорость шифрования вдвое. Данный алгоритм получил развитие и стал основой нового американского стандарта — шифра Rijndael, который был разработан группой авторов SQUARE. Кстати, на конкурсе AES, эксперты отметили, что «в основе алгоритма Rijndael лежит нетрадиционная парадигма, поэтому он может содержать скрытые уязвимости»^[1]. Именно по этой причине сам SQUARE сейчас используется редко, уступая в популярности своему потомку — Rijndael. Также потомком шифра является южнокорейский алгоритм CRYPTON, участник конкурса AES.

• Rijndael

• J. Daemen, L. Knudsen, V. Rijmen. The Block Cipher SQUARE. — 1997.
• B. Koo, Y. Yeom, J. Song. Related-Key Boomerang Attack on Block Cipher SQUARE. — 2010.
• H. Mala. Biclique Cryptanalisis of the Block Cipher SQUARE. — 2011.
• G.Piret, J.-J. Quisquater. Impossible differential and square attacks: Cryptanalytic link and application to Skipjack. — 2001.
• Панасенко С. П. Алгоритмы шифрования. Специальный справочник — СПб.: BHV-СПб, 2009. — 576 с. — ISBN 978-5-9775-0319-8

• The Block Cipher Square Algorithm, Joan Daemen, Lars R. Knudsen and and Vincent Rijmen, Dr. Dobb’s Journal, October 01, 1997.