Многократное шифрование блоков
На
первый взгляд представляется очевидным,
что можно значительно повысить стойкость
шифра, если криптограмму, полученную с
помощью ключа
1 ,
зашифровать еще раз с помощью другого
ключа
2 ,
т.е. реализовать процедуры шифрования
и дешифрования следующим образом:
,
.
Здесь применяемые ключи указываются как нижние индексы у функций шифрования/дешифрования.
Пусть
длина используемых ключей одинакова и
равна N ,
а криптоанализ криптограммы
выполняется
с полным перебором всех возможных пар
ключей
2и
1.
Сначала
выбирают первого кандидата на ключ
2 и производят дешифрование криптограммы
.
Полученный результат дешифруют
раз,
перебирая
возможных кандидатов на ключ
1 ,в надежде получить читаемое сообщение.
При неудаче производят дешифрование
исходной криптограммы с помощью второго
кандидата на ключ
2 и снова дешифруют полученный результат,
перебирая
возможных кандидатов на ключ
1 и т.д. Поскольку число возможных кандидатов
на ключ
2 также составляет
,
может показаться, что верхняя граница
необходимого числа расшифровок при
переборе двух ключей должна быть
.
Однако
можно показать, что это не
так: если длина ключей равна N,
то верхняя граница необходимого числа
операций для криптоанализа двукратного
шифрования равна только
.и
двукратное шифрование не является
эффективным.
В силу сказанного для повышения стойкости шифрования используют не двойное, а трехкратное шифрование на трех различных ключах, т.е. формируют криптограмму по следующему правилу
,
.
Доказывается, что в этом случае наилучший возможный метод криптоанализа при помощи тотального перебора ключей потребует 22Nшагов, т.е. стойкость шифра существенно увеличивается.
В более простом способе повышения криптостойкости блоковых шифров с использованием трех ключей два ключа применяют для маскировки
=
3
, 
= 
1
.
Длина маскирующих
ключей
1
и
3 может не совпадать с длиной ключа
2 .
Параметры современных блоковых шифров
В настоящее время разработано много различных блоковых шифров. Часть из них являются государственными (федеральными) или интернациональными стандартами:
DES (стандарт шифрования США),
GOST(стандарт шифрования Российской Федерации),
CAST(семейство блоковых шифров),
AES(новый стандарт шифрования США).
DES (DataEncryptionStandard) – Федеральный стандарт шифрования для несекретных сообщений в США.
Этот шифр является первым в мире полностью открытым алгоритмом. Повсеместно используется для шифрования данных.
DESпредставляет собой блоковый шифр, основанный на структуре Файстеля, с длиной блоков 64 бита и с такой же длиной блока криптограммы. Для шифрования используется ключ длиной 64 бита, из которых 56 бит образуют собственно ключ, а 8 бит используются как проверочные. Алгоритм реализуют 16 итераций. На каждой итерации текущий ключ вырабатывается из секретного ключа при помощи выборки и перестановок определенных элементов ключа. Нелинейная функция для каждой итерации задается при помощи коротких нелинейных преобразований, так называемыхS-блоков, и дополнительных перестановок. Все преобразования определяются таблицами, которые опубликованы в открытой литературе. Алгоритм вырабатывает зашифрованные данные, каждый бит которых является функцией от всех бит открытых данных и от всех бит ключа. Изменение лишь одного бита данных дает равные вероятности для изменения каждого бита криптограммы.
Первоначально DESбыл разработан фирмойIBMдля своих целей. Тест по безопасности данной системы шифрования был проведен Агентством Национальной Безопасности США, которое не обнаружило в нем каких-либо изъянов. С 1976 г.DESстал стандартом шифрования для несекретных сообщений в США.
Основной метод нападения на DES– полный перебор всех ключей, число которых составляет 256. Специально сконструированная машина может вскрытьDESза несколько минут. Стоимость такого компьютера составляет от 500 тыс. до 1 млн. $.
Таким образом, можно полагать, что данная система не является стойкой для государственных или состоятельных общественных организаций. Однако если для повышения стойкости применяется трехкратное шифрование на разных ключах, то система DESоказывается стойкой даже по отношению к самым мощным средствам дешифрования, включая государственные. Конечно, при этом ее производительность снижается в три раза.
Известны попытки непереборного дешифрования DESна основе дифференциального (разностного), линейного и статистического криптоанализа. Для полного алгоритмаDESэти методы оказались практически непригодными. Однако если используется упрощенный алгоритмDES(например, вместо 16 циклов реализуется только 4, то непереборные методы позволяют вскрывать упрощенный «DES» без знания ключа за небольшое время. Принципиально новый метод криптоанализа, использующий целенаправленное внесение ошибок в элементы схемы шифрования, позволяет успешно дешифровать аппаратную реализацию даже для тройногоDES. Однако технически такое воздействие на шифратор реализуется достаточно сложно.
В настоящее время DESможет применяться при шифровании сообщений, имеющих кратковременную секретность порядка недели или месяца в предположении, что криптоанализ будут проводить негосударственные или не слишком состоятельные коммерческие структуры.
CAST(семейство блоковых шифров; разработчикиCarlisleAdamsиStaffordTavares, по именам которых дано название) – практически канадский стандарт шифрования. В версии CAST-128 блок имеет размер 64 бита, длина ключа составляет 128 бит. Алгоритм основан на шестиS-блоках, которые обеспечивают существенно нелинейные преобразования, успешно противостоящие попыткам криптоанализа.
AES (Advanced Encryption Standard) – новый стандарт шифрования США.
В 1997 г. национальный институт стандартов и технологий США объявил о начале программы по принятию нового стандарта криптографической защиты важной информации взамен существующего с 1974 г. алгоритмаDES. Этот самый распространенный криптоалгоритм признан устаревшим по многим причинам, хотя в нем и нет явных изъянов, кроме короткого ключа До сих пор не найден метод его криптоанализа, по эффективности отличающийся от полного перебора ключей.
Так возник конкурс на AdvancedEncryptionStandard– шифрXXI века, удовлетворяющий следующим основным требованиям:
стойкость с учетом прогнозируемого роста вычислительных мощностей,
стоимость с учетом доступности для широкого применения на основе программной и аппаратной реализации, с учетом скорости и простоты,
гибкость, включающая обработку ключей и блоков различной длины и реализацию других криптографических функций,
реализуемость во встроенных системах с ограниченным объемом памяти.
На конкурс были приняты 15 опубликованных и не запатентованных алгоритмов из 12 стран. В октябре 2000 г. конкурс завершился. Победителем был признан Бельгийский шифр RIJNDAEL, авторыJoanDaemenиVincentRijmen.
Алгоритм шифрования Rijndael представляет собой итерационный блоковый шифр с ключами и блоками данных, которые независимо друг от друга имеют длину 128, 192 или 256 бит.