55
что и требовалось доказать.
Пример. Если N = 2 64 , то при выборе n = 
N = 2 32 сообщений,
вероятность успешной атаки будет равна р = (1 - e −1 )(1 + ο(1)) ≈ 23 .
2.12. Анализ схем шифрования, использующих многократно один блочный шифр.
Пусть для определенности используется DES. Достижения в криптографии и электронике в 90-х годах позволили снизить время дешифрования DES, что позволяет делать недорогие системы для его дешифрования. Возникла идея построения нового алгоритма, у которого стойкость выше, чем у DES, а в качестве компоненты алгоритма используется DES. Наибольшую потребность в этом испытывают финансовые структуры, которые не хотели бы отказываться от DES из-за значительных дополнительных вложений и других трудностей, но нуждаются в стойких системах шифрования. В этих структурах наиболее употребительным является режим с зацеплением блоков (СВС).
Режимы использования DES [Men., c.229].
1.Режим электронной книги (ЕСВ).
ОТ ОТ
К 
К
ШТ ШТ
Рис.1
2. Режим с зацеплением (СВС).
|
ОТ |
ОТ |
ОТ |
|||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
IV |
|
К |
|
К |
|
К |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ШТ |
ШТ |
ШТ |
|||
Рис.2.
Здесь IV – инициальное значение.
56
3. |
Режим с обратной связью по шифртексту (CFB). |
||||||||||||||||||
|
|
ОТ |
|
ОТ |
|
ОТ |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IV |
|
К |
|
|
К |
|
|
К |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
||||||||||||
|
|
ШТ |
|
ШТ |
|
ШТ |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3. |
|||||||
4. |
Режим с обратной связью (асинхронный) ((OFB). |
||||||||||||||||||
|
|
ОТ |
|
|
|
ОТ |
|
|
|
ОТ |
|
|
|
||||||
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IV К К К
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
ШТ ШТ ШТ
Рис. 4.
Были придуманы схемы шифрования, многократно использующие
DES.
Пример 1. Двойной DES в режиме электронной книги.
ОТ
К1
К2
ШТ
Рис. 5.
Двойной DES не стоек к методу “встреча посередине”.
57
Пример 2. Тройной DES в режиме электронной книги [Men., c.272]. Стойкость данного алгоритма не превосходит стойкости DES, если используется атака с выделенным открытым текстом.
ОТ 
DES(К1)
DES −1 (К2 )
DES(К1)
ШТ
Рис. 6.
Пример 3. Тройной DES с зацеплением.
|
|
ОТ |
|
|
ОТ |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
IV |
|
DES(К1) |
|
DES(К1) |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DES −1 (К2 ) |
|
DES −1 (К2 ) |
|
|
|
|
|
|
|
DES(К1) |
|
DES(К1) |
|
ШТ ШТ
Рис. 7.
Оказывается, |
что стойкость данного тройного DES такая же |
как |
|
стойкость в |
режиме электронной |
книги при атаке с выбранным |
|
шифртекстом. |
Слабость данного |
алгоритма заключается в том, |
что |
58
шифртекст известен и он же идет на вход следующего блока.
Пример 4 [Biham 94]. Возникло много модификаций тройного DES, когда зацепление проходит внутри. Рассмотрим следующий вариант тройного DES: СВС/CBC/ECB.
|
P 0 |
P1 |
P 2 |
P 3 |
|||||||||||
|
|
|
|
|
|
|
|
||||||||
|
|
|
|||||||||||||
IV 1 |
|
|
Z 0 |
|
|
Z1 |
|
|
Z 2 |
|
|
Z 3 |
|||
|
К |
|
1 |
|
|
К1 |
|
|
К1 |
|
|
К1 |
|||
IV 2 |
|
|
|
L 0 |
|
|
|
|
L1 |
|
L |
|
2 |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
||||||||
|
|
|
|||||||||||||
|
|
V 0 |
|
V1 |
|
V 2 |
|
|
|||||||
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К2 |
|
|
К2 |
|
|
К2 |
|
|
К2 |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
W 0 |
|
W1 |
|
W2 |
|
W 3 |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К3 |
|
|
К3 |
|
|
К3 |
|
|
К3 |
|||||
|
C 0 |
|
|
C1 |
|
|
|
|
C 2 |
|
|
C 3 |
|||
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
Рис. 8. |
|
|
||||
Рассмотрим один из вариантов дешифрования этой схемы методом выбранного шифртекста. Сначала будем искать ключ К3 . Пусть известны
открытые и шифрованные тексты. Среди всех шифртекстов выберем две
тройки блоков следующего вида (C 0 , C1, C 2 ) и (C*0 , C1, C 2 ), где C 0 ≠ C*0 . Обозначим для первой тройки через Wi - вход последнего блока, Vi - вход
второго блока и через Zi , Li - вход и выход первого блока соответственно, Рi - открытый текст. Соответствующие обозначения для второй тройки – W*i , V*i , Z*i , L*i , P*i . Для выбранных троек имеем следующие соотношения.
Из того, что С1 = С1* , С2 = С *2 , следует |
|
W1 = W1* , W2 = W*2 , V1 = V1* , V2 = V*2 . |
(1) |
Отсюда L2 = L*2 , и, следовательно, Z 2 = Z *2 . Тогда |
|
V1 = W 0 + L1, |
|