2. Требования к современным шифрам

1. Размер блока должен быть равен 128 бит. Хотя размер блока в 64 бита и считается в настоящее время вполне надежным, однако быстрый прогресс микроэлектроники уже в обозримом будущем может сделать его доступным для некоторых типов словарных атак. Кроме того, при построении хэш-функций на базе блочных шифров в силу так называемого "парадокса дней рождения" весьма желательно, чтоб размер блока использованного шифра был как минимум вдвое больше величины, считающейся на данный момент безопасной. В свете этого выбор большего размера блока представляется вполне разумным.

2. Шифр должен допускать использование ключа размером 256, 192 и 128 бит. Шифры первого поколения создавались в основном для нужд государства. В настоящее время одним из главных потребителей средств криптозащиты информации (СКЗИ) становится бизнес, который, как известно, любит считать деньги и не хочет их тратить больше, чем необходимо. В различных задачах деловой сферы требования к надежности СКЗИ сильно различаются. Поскольку стоимость разработки и эксплуатации СКЗИ существенно возрастает с увеличением их надежности, нередко экономические соображения диктуют выбор более слабых криптографически, но зато более дешевых средств шифрования. В свете сказанного у бизнеса возникла необходимость не в одном шифре, а в целой линейке шифров, которые различались бы по своим рабочим характеристикам, что нашло отражение в наборе требований к кандидатам на место усовершенствованного стандарта, - они должны допускать использование ключей различных размеров.

3. Стойкость шифра не должна быть ниже, чем у тройного DES. В настоящее время этот шифр считается вполне надежным даже с некоторым запасом на возможный прогресс криптоанализа в ближайшем будущем.

4. Быстродействие возможных программных реализаций должно быть не ниже, чем у тройного DES. Это также вполне понятное требование, - было бы неразумно принять в качестве нового стандарта шифр с худшим показателем, чем у действующего ныне варианта.

5. Шифры должны допускать возможность эффективной реализации различных типов, - аппаратной и программной на процессорах всего диапазона от 8-битовых микроконтроллеров до современных 64-разрядных процессоров. Это требование диктуется сферой бизнеса, т.к. предполагается интенсивное использование нового стандарта в широком спектре изделий - от интеллектуальных карт и модемов до специальной аппаратуры и реализаций на супер-ЭВМ.

В качестве кандидатов на место нового стандарта различные организации, компании и частные лица выдвинули 15 перечисленных ниже шифров: CAST-256, CRYPTON, DEAL, DFC, E2, HPC, FROG, LOOKI-97, MAGENTA, MARS, R6, RIJNDAEL, SAFER+, SERPENT, TWOFISH. Большинство из них разработаны в последние несколько лет и отражают, таким образом, новейшие достижения рассматриваемой области криптографии. Ниже в таблице 1 дан краткий обзор по ключевым моментам архитектуры этих шифров

Если в ранних шифрах для преобразования данных использовался достаточно ограниченный набор операций, - битовые перестановки, подстановки в битовых группах и аддитивные бинарные операции, - то в современных шифрах этот круг несколько шире. Что касается битовых перестановок общего вида, то они встречаются только в самых ранних шифрах ("Люцифер", DES) и не применяются на практике уже достаточно долгое время. Это обусловлено их крайне неэффективной реализацией на современных универсальных процессорах. Вместо них получили широкое распространение согласованные битовые перестановки - вращения, перестановки целых групп разрядов, и перестановки, реализуемые за несколько логических операций над преобразуемыми словами данных.

Узлы замен в ранних шифрах отличались небольшим размером заменяемого элемента, - 4-6 бит, - и конструировались с помощью специальных закрытых методик. В большинстве современных шифров размер узла составляет не меньше 8 бит. Кроме того, критерии проектирования узлов открыты и при их конструировании широко используется алгебраический подход:

в SAFER+ байтовые узлы замен сконструированы на базе экспоненты и логарифма в конечном поле небольшого размера (операции выполняются по модулю 257).

в RIJNDAEL единственный байтовый узел замен задается следующим уравнением, оперирующим элементами конечного поля GF(2⁸):

S[X] = (x⁷+x⁶+x²+x) + X^-1 (x⁷+x⁶+x⁵+x⁴+1) mod (x⁸+1),

где X^-1 - мультипликативное обращение байта X в конечном поле GF(2⁸) по модулю неприводимого полинома

m(x) = x⁸+x⁴+x³+x+1,

при этом полагают 0^-1=0.

в LOKI-97 используются два разноразмерных узла замен, определяемых следующими алгебраическими соотношениями:

S₁[x]=(x³ mod 2911₁₆) mod 2⁸, 0 x<2¹³, S₂[x]=(x³ mod AA7₁₆) mod 2⁸, 0 x<2¹¹.

Кроме того, в некоторых современных шифрах (BLOWFISH, FROG) узлы замен зависят от используемого ключа и формируются динамически во время выработки последовательности ключевых элементов для раундов шифрования. В целом, в настоящее время наблюдается гораздо большее разнообразие в подходах к созданию узлов замен, чем в шифрах "первого поколения".

Что касается бинарных операций, то в современных шифрах помимо операций аддитивной группы также активно применяются сдвиги на переменное число битов и мультипликативные операции. Ключевая информация используется путем комбинирования ключевых элементов с данными в упомянутых выше бинарных операциях различного типа и параметрически зависящих от битов ключа перестановках и подстановках. Например, в шифре FROG ключевые элементы используются следующими способами:

комбинируются с данными в операции побитового сложения по модулю 2;

используются в качестве узлов замен;

задают перестановку байтов шифруемого блока.

Старший преподаватель кафедры №24 подполковник________ Баричев С. Г.

Военная академия Ракетных войск стратегического назначения

имени Петра Великого

Кафедра №24

ЛЕКЦИЯ №11 «СТРУКТУРА СЕМЕЙСТВА СТАНДАРТОВ IEEE 802.Х»

ПО УЧЕБНОЙ ДИСЦИПЛИНЕ: «ИНФОРМАЦИОННЫЕ СЕТИ И ТЕЛЕКОММУНИКАЦИИ»

Автор(ы): Баричев С.Г., КТН, старший преподаватель;

Рассмотрено и одобрено на заседании кафедры (ПМК кафедры)

Протокол № ___ от «___» _______ 2008 г.