3.5. Современные поточные криптоалгоритмы

Краткие сведения о некоторых наиболее известных поточных криптоалгоритмах, считающихся относительно стойкими, сведены в табл.7.

Таблица 7. Стойкие поточные криптоалгоритмы

№пп	Алгоритм	Описание
1	Каскад Голлмана	Усиленная версия генератора «старт-стоп». Последовательное соединение РСЛОС
2	А5	Комбинация трех РСЛОС с изменяемым управлением тактированием
3	Nanoteq	На основе одного РСЛОС
4	Rambutan	Предположительно на основе РСЛОС
5	Pike	На основе трех аддитивных генераторов
6	Mush	Взаимно сжимающий генератор
7	RC4	S-блочная замена в режиме OFB. Эффективен для программной реализации
8	SEAL	На основе таблиц SHA. Эффективен для программной реализации. Наиболее быстрый алгоритм
9	WAKE	S-блочная замена в режиме CFB. Эффективен для программной реализации
10	Генератор Блюма-Микали	На основе трудности решения задачи дискретного логарифмирования
11	Генератор RSA	На основе трудности решения задачи факторизации
12	Генератор BBS	На основе трудности решения задачи факторизации

3.5.1. Алгоритм Гиффорда

Алгоритм построен на основе единственного 8-байтового регистра сдвига и работает в режиме OFB. Ключевая гамма генерируется побайтово. Схема работы алгоритма приведена на рис. 25.

Рис.25. Алгоритм Гиффорда

Характеристический многочлен регистра не примитивен и потому может быть вскрыт.

3.5.2. Алгоритм a5

Алгоритм построен на основе трех РСЛОС длины 19, 22 и 23 с последовательностью «стоп/вперед», управляющей движением регистров. В каждом такте сдвигаются по меньшей мере два регистра. Схема приведена на рис. 26.

Рис.26. Алгоритм А5

Алгоритм используется в системах связи стандарта GSM для шифрования трафика между абонентом и базовой станцией.

3.6. Режимы использования шифров

Для решения разнообразных криптографических задач блочные шифры используют в нескольких режимах работы. Рассмотрим этот вопрос на примере шифра DES.

Алгоритм DES может использоваться в следующих четырех режимах:

—режим электронной кодовой книги (ЕСВ — Electronic Code Book);

—режим сцепления блоков (СВС — Cipher Block Chaining);

— режим обратной связи по шифртексту (CFB — Cipher Feed Back);

—режим обратной связи по выходу (OFB — Output Feed Back).

Режим электронной кодовой книги (ЕСВ) отвечает обычному использованию DES как блочного шифра, осуществляющего некоторую простую замену блоков открытого текста. В режиме сцепления блоков (СВС) каждый блок C_i, i>1, шифртекста перед очередным зашифрованием складывается по модулю 2 со следующим блоком открытого текста М_i . При этом вектор С₀ полагается равным начальному вектору IV (Initial Vector). Начальный вектор меняется ежедневно и хранится в секрете. Блоки С,,С₂,... вырабатываются по рекуррентной формуле

С_i = DES_k (C_i-1  M_i).

Рис.27. Режим CBC

В режимах CFB и OFB алгоритм DES функционирует по аналогии с "шифром Вернама", в режиме OFB — как синхронный шифр, в режиме CFB — как шифр с самосинхронизацией.

В режиме CFB вырабатывается блочная "гамма" Z₀,Z₁,..., причем Z₀ полагается равным начальному вектору IV, а при i ≥ 1 блоки гаммы удовлетворяют соотношению Z_i = DES_k(C_i-1). Блоки открытого текста шифруются по правилу C_i = M_i  Z_i, i ≥ 1.

Рис.28. Режим CFB

В режиме OFB вырабатывается блочная "гамма" Z₀,Z₁, ..., причем Z₀ полагается равным начальному вектору IV, а при i ≥ 1 блоки гаммы удовлетворяют соотношению Z_i = DES_k (Z_i-1). Блоки открытого текста шифруются по правилу Ci=M_i  Z_i, i ≥ 1.

Рис.29. Режим OFB

Кроме перечисленных режимов, DES имеет также "режим т-битовой обратной связи", 1 ≤ т ≤ 64 . Этот режим оперирует с m-битовыми блоками. Входной блок (64-битовый регистр сдвига) вначале содержит вектор инициализации IV, "выровненный по правому краю".

Рис.30. Режим m-битовой обратной связи

Блоки открытого текста шифруются по правилу С_i = M_i  P_i, где P_i — вектор, состоящий из т старших битов блока DES_k (С_i-1). Обновление заполнения регистра сдвига осуществляется путем отбрасывания старших т битов и дописывания справа вектора P_i.

Указанные режимы имеют свои достоинства и недостатки. Основное достоинство режима ЕСВ — простота реализации. Недостаток — в возможности проведения криптоанализа "со словарем ". Дело в том, что вследствие большой избыточности в открытом тексте вполне возможны повторения 64-битовых блоков. Это приводит к тому, что одинаковые блоки открытого текста будут представлены идентичными блоками шифртекста, что дает криптоаналитику возможность при наличии достаточно большого числа пар открытого и шифрованного текста восстанавливать с большой вероятностью блоки открытого текста по шифртексту.

В режимах ЕСВ и OFB искажение при передаче одного 64-битового блока шифртекста С, приводит к искажению после расшифрования соответствующего блока M_i открытого текста, но не влияет на следующие блоки. Это свойство используется для шифрования информации, предназначенной для передачи по каналам связи с большим числом искажений. Вместе с тем при использовании режима OFB остается открытым вопрос о периоде получаемой выходной гаммы, который в некоторых предположениях может составлять величину порядка 2³².

В режимах СВС и CFB искажение при передаче одного блока шифртекста С_i приводит к искажению на приеме не более двух блоков открытого текста — М_i, M_j+1 . В то же время изменение блока M_i приводит к тому, что C_i и все последующие блоки шифртекста будут искажены. Это свойство оказывается полезным для целей аутентификации. Такие режимы применяются для выработки кода аутентификации сообщения. Так, в режиме СВС берется вектор инициализации, состоящий из одних нулей. Затем с помощью ключа k вырабатываются блоки C_i,...,C_n шифртекста. Кодом аутентификации сообщения (КАС) служит блок С_п.

Если требуется обеспечить лишь целостность сообщения, отправитель передает блоки М₁,...,М_п вместе с С_п. Тогда противнику, желающему изменить сообщение, нужно соответствующим образом изменить и блок С_п. Возможность этого маловероятна, если только противник не располагает секретным ключом k.

Если же нужно обеспечить шифрование и аутентификацию, то отправитель сначала использует ключ k₁ для выработки КАС, затем шифрует последовательность блоков М₁,...,М_п, М_п+1 = КАС на втором ключе k₂, и получает последовательность блоков С₁,...,С_n,С_n+1. Получатель должен сначала расшифровать С₁,...,С_п,С_п+1 на ключе k₂, а затем проверить (с помощью k ), что М_п+1 — это КАС для М₀, ... , М_n.

Можно поступить и иначе: сначала использовать k для зашифрования М₁,..., Мn, получая С₁,..., С_n, а затем k₂ — для получения КАС. Получатель же будет использовать k₂ для проверки КАС, а затем k — для расшифрования C₁, .. ,C_n.

Во всех перечисленных режимах вместо алгоритма DES может быть использован любой алгоритм блочного шифрования, в частности российский стандарт ГОСТ 28147-89.

В российском стандарте также предусмотрено несколько режимов использования: режим простой замены, режим шифрования с обратной связью и режим гаммирования с обратной связью, которые являются аналогами соответственно режимов ЕСВ, СВС и CFB. Для того чтобы избавиться от указанной выше проблемы неопределенности длины периода гаммы в режиме OFB, в российском стандарте введен режим гаммирования, при котором блочный шифр используется в качестве узла усложнения некоторой последовательности гарантированного периода. Для выработки этой последовательности обычно применяются линейные регистры сдвига или счетчики по некоторому модулю.

Рис.31. Режим гаммирования

Уравнение шифрования имеет вид

C_i = M_i. F(γ_i), i = 1,2,...,

где F — преобразование, осуществляемое блочным шифром, γ_i - блоки, сформированные узлом выработки исходной гаммы из начального вектора γ₁, который передается в начале сообщения в открытом или зашифрованном виде.

Ошибка при передаче, состоящая в искажении символа, приводит при расшифровании к искажению только одного блока, поэтому сохраняются все преимущества шифра гаммирования.