5_1.htm 5.1. Составные шифры На практике для повышения криптостойкости шифрования обычно используют два общих принципа шифрования: рассеивание и перемешивание. Принцип рассеивания состоит в распространении влияния одного символа открытого текста на некоторое, иногда большое, количество символов шифротекста, что позволяет скрыть статистические свойства открытого текста. Развитием этого принципа является распространение влияния одного символа ключа на много символов шифрограммы, что позволяет исключить восстановление ключа по частям. Принцип перемешивания состоит в использовании таких шифрующих преобразований, которые исключают восстановление взаимосвязи статистических свойств открытого и шифрованного текста. Распространенный способ шифрования, при котором достигается хорошее рассеивание и перемешивание, состоит в использовании составного шифра. Этот шифр строится на основе совместного использования простых шифров замены и перестановки, каждый из которых вносит некоторый вклад в значительное суммарное рассеивание и перемешивание. Одним из наглядных примеров криптоалгоритма, разработанного в соответствии с принципами рассеивания и перемешивания, может служить принятый в 1977 году Национальным бюро стандартов США стандарт шифрования данных DES. Несмотря на интенсивные и тщательные исследования алгоритма специа- листами, пока не найдено уязвимых мест алгоритма, на основе которых можно было бы предложить метод криптоанализа, существенно лучший полного перебора ключей. В июле 1991 года в нашей стране введен в действие подобный отечественный криптоалгоритм шифрования — ГОСТ 28147-89. В то же время, несмотря на широкое распространение блочного шифрования, ему присущи следующие недостатки: • Одиночная ошибка в шифротексте вызывает искажение примерно половины открытого текста при дешифровании, что требует применения мощных кодов, исправляющих ошибки • Из двух одинаковых блоков открытого текста получаются одинаковые блоки шифрованного текста. Избежать этих недостатков позволяют поточные (потоковые) шифры. Шифры поточного (потокового) шифрования В современных системах шифрования данных широкое применение нашли системы поточного (потокового) шифрования. Поточные (потоковые) шифры, в отличие от блочных, осуществляют поэлементное шифрование потока данных без задержки в криптосистеме. В общем случае каждый символ открытого текста шифруется, передается и дешифруется независимо от других символов. Иными словами, шифрующее преобразование элемента открытого текста меняется от одного элемента к другому, в то время как для блочных шифров шифрующее преобразование каждого блока остается неизменным. В некоторых случаях символ открытого текста может шифроваться с учетом ограниченного числа предшествующих ему символов. Важным достоинством поточного шифрования является высокая скорость преобразования данных, соизмеримая со скоростью поступления открытого текста, что обеспечивает шифрование и расшифрование передаваемой информации больших объемов практически в реальном масштабе времени. Системы поточного шифрования обладают высокой криптостойкостью, так как вскрытие такой системы предполагает точное определение структуры генератора ключевой последовательности (ГКП) и его начальной фазы. Перечисленные положительные качества поточного шифрования в совокупности с простой и низкой по стоимости технической реализацией поставили его в ряд наиболее перспективных систем шифрования. Поточные (потоковые) шифры основываются на использовании ключевой последовательности с заданными свойствами случайности и двоичном (цифровом) представлении информационных сообщений. Шифрование и расшифрование осуществляется, как правило, с использованием операции сложения по модулю 2 элементов открытого текста и псевдослучайной ключевой последовательности. Последние состоят из сгенерированных определенным образом последовательностей символов с заданными свойствами непредсказуемости (случайности) появления очередного символа.
Рис.5.18. Шифр Вернама Исторически первым поточным шифром стал шифр Вернама, в котором в качестве ключевой последовательности использовалась уникальная случайная гамма. При этом размер ключа соответствовал длине ключевой последовательности. Принцип шифрования и расшифрования данных изображен на рис. 5.18. Отличительной особенностью шифра Вернама является шифрование гаммы ключевых последовательностей, каждая из которых представляет собой шифр. Практическая реализация этого шифра из-за сложности реализации сверхдлинных ключевых последовательностей и неудобства их хранения оказалась затруднительной. Более удобными оказались поточные шифры, в которых в качестве ключевых используются псевдослучайные последовательности (ПСП), формируемые генераторами ПСП. В этом случае секретный ключ определяется начальным состоянием генератора ПСП, а его размер значительно меньше размера открытого текста, что существенным образом упрощает решение задач технической реализации, хранения и передачи ключа. В настоящее время существует достаточно большое количество поточных шифров, отличающихся друг от друга некоторыми отличительными признаками. Например, по способу синхронизации поточные шифры подразделяются на синхронные и самосинхронизирующиеся. Синхронные поточные шифры В синхронных поточных шифрах ключевая последовательность или, как ее еще называют, гамма, формируется независимо от последовательности символов открытого текста и каждый символ этого текста шифруется независимо от других символов, а ключом Z является начальная установка генератора ПСП. Процесс шифрования и расшифрования при этом описывается выражениями: Yi=XiEF(Z) — шифрование; Xi=Yi ЕFi(Z) — расшифрование, где Уi, Хi — двоичные символы зашифрованного и открытого текста, Fi(Z) — i-й символ ПСП, вырабатываемый генератором с функцией обратной связи F и начальным состоянием Z. Синхронные поточные шифры можно классифицировать по способам построения ПСП, по соотношению размеров открытого текста и периода ключевой ПСП, по способам технической реализации (рис. 5.19). По способам построения ПСП для синхронного шифрования различают: • Метод комбинирования ПСП • Метод функциональных отображений. Суть первого метода заключается в построении комбинированных схем, представляющих собой совокупность регистров сдвига с линейными обратными связями. Примерами таких схем являются схема Джеффра (рис. 5.20 а) и схема Брюс (рис. 5.20 б). Отличие этих двух схем состоит в использовании для формирования ПСП различных логических устройств. Так, в схеме Джеффа применяется операция логического умножения и сложения по модулю 2. Схема Брюс использует пороговое устройство, работающее по правилу: на выходе 1, если порог превышен, иначе — 0. Более сложным является метод функциональных отображений, суть которого заключается в следующем. Пусть дано некоторое векторное пространство GF(2m) с числом координат m в каждом векторе, причем каждая координата вектора принадлежит множеству скалярных величин GF(2)={0,1}. Очевидно, что общее число векторов, принадлежащих пространству GF(2m), равно 2m. Пусть задано некоторое функциональное отображение f, которое каждому вектору из векторного пространства GF(2m) ставит в соответствие вектор из пространства GF(2k). При этом обязательным является выполнение условия k<=m. Далее пусть задано некоторое функциональное отображение g, которое каждому вектору из GF(2k) ста-
Рис. 5.19. Классификация синхронных поточных шифров
Рис. 5.20. Схема Джеффа (а) и схема Брюс (б) вит в соответствие скаляр из множества GF(2). В этом случае получим ПСП с использованием вышеприведенных функциональных отображений. Например, ПСП, полученная по схеме, изображенной на рис. 5.21 (m=4, k=2), построена по методу двухступенчатых отображений. Метод ступенчатого отображения GF(2m) — GF(2k) — GF(2) впервые был использован при построении последовательностей Гордона-Милса-Велга. Для порождения векторного пространства GF(2m) использовались регистры сдвига с линейными обратными связями длины m с обратной связью. Следует заметить, что на практике имеет место различное число функциональных отображений. С возрастанием используемых ступеней уровень крип-тостойкости шифрования повышается. По отношению размера открытого текста и периода ключевой ПСП различают схемы: • С «бесконечной» ключевой ПСП (период ПСП больше размера открытого текста) • С конечной ключевой ПСП или с режимом «бегущего кода» (период ПСП равен размеру открытого текста).
Рис. 5.21. Принцип формирования ПСП по методу двухступенчатых отображений
Рис. 5.22. Схема с нелинейной внешней (а) и внутренней (б) логикой Схемы с «бесконечной» ключевой ПСП обладают более высокой крип-тостойкостью относительно вскрытия их структуры при известном открытом тексте. Однако при вскрытии структуры ПСП по частично известному тексту схема «бегущий код» не позволяет вскрывать весь текст, а только его небольшую часть, поэтому разработчики спутниковой системы «На-встар» в качестве криптостойкой ПСП Р-кода использовали сегменты длительностью 7 суток, выделенные случайным образом из нелинейной ПСП с периодом 267 суток. По способам технической реализации синхронных поточных шифров можно выделить схемы, представленные на рис. 5.22: • С нелинейной внешней логикой • С нелинейной внутренней логикой. При использовании нелинейной внешней логики основу генератора ПСП составляет регистр сдвига с линейными обратными связями, который порождает все ненулевые элементы векторного пространства GF(2n). В схеме с нелинейной внутренней логикой генератор ПСП представляет собой регистр с нелинейными обратными связями. Такой генератор вырабатывает последовательности де Брейна с периодом 2n. Такие последовательности обладают одними из самых высоких показателей криптостой-кости из всех классов ПСП, так как каждая серия из п-символов встречается на периоде ПСП только один раз. Самосинхронизирующиеся поточные шифры В самосинхронизирующихся поточных шифрах (рис. 5.23) символы открытого текста шифруются с учетом ограниченного числа предшествующих п-символов, которые принимают участие в формировании ключевой последовательности. При этом секретным ключом Z является функция обратной связи генератора ПСП.
Рис. 5.23. Принцип самосинхронизирующегося поточного шифрования Используя математические выражения, принцип самосинхронизирующегося поточного шифрования можно представить следующим образом: Yi= XiEFz(Yi-1, Yi-2,...,Yi-n) — шифрование, Xi=YiEFz(Yi-1, Yi-2,...,Yi-1) — расшифрование, где Xi, Yi. — двоичные символы открытого и зашифрованного текста; Fz(...)— функция обратной связи, соответствующая ключу Z; n — количество регистров генератора ПСП. Системы потокового шифрования близки по своим параметрам к криптосистемам с «одноразовым ключом», в которых размер ключа равен размеру шифруемого текста, что существенным образом повышает криптос-тойкость зашифрованных сообщений. Следовательно, потоковые шифры, в отличие от других криптосистем, обладают значительно большей анализируемой секретностью. В силу сказанного, а также благодаря высокой скорости шифрования и ограниченности размножения ошибок поточное шифрование является на сегодняшний день наиболее перспективным и вызывает большое доверие многих потребителей и специалистов. Примером поточных шифраторов, используемых в высокоскоростных линиях связи, являются такие как SEC-15, SEC-17, SDE-100 и др. Устройство SEC-17, например, обеспечивает скорость шифрования от 256 Кбит/с до 2304 Кбит/с, его ключ состоит из 72 шестнадцатиричных цифр; а устройство SEC-15 позволяет иметь более 10000000000000000000000000000000000 статистически независимых ключей. В устройстве потокового шифрования CSD 807 в генераторе ключевой последовательности применен 31-разрядный регистр сдвига, в генераторе устройства потокового шифрования SDE-100 используются 2 регистра сдвига. Принципы потокового шифрования используются также в устройствах аппаратуры шифрования MSDS MARCRYP. На основании сравнительного анализа поточных шифров можно сделать следующие выводы: • В синхронных поточных шифрах, в отличии от самосинхронизирующихся, отсутствует эффект размножения ошибок, то есть количество ошибок в шифротексте соответствует количеству в расшифрованном получателем тексте Таблица 5.1. Характеристики одноключевых криптографических алгоритмов.
Алгоритм Режим шифрования Длина блока, бит Длина ключа, бит Примечание CAST CFB 64 128 Используется с ключами DНЕ/DSS IDEA CFB 64 128 Используется с ключамиRSА DES CFB 64 168 Используется с ключами DНЕ/DSS • При использовании синхронных поточных шифров необходимо решить задачу синхронизации генераторов ключевых ПСП у отправителя и получателя сообщений. Вставка или выпадение одного двоичного символа в шифротексте приведет к неправильному расшифрованию остальных символов из-за нарушения синхронизации • В самосинхронизирующихся поточных шифрах восстановление режима синхронизации осуществляется автоматически через п-символов шифротекста. Комбинированные шифры При комбинированном шифровании реализуются принципы как блочного, так и поточного шифрования. При этом возможно использование блочного шифра в поточном режиме (гаммирование, шифрование с обратной связью) и поточного шифра в блочном режиме (шифрование блоков). Комбинированное шифрование применяется на практике в различных режимах стандартов шифрования ГОСТ 28147-89 и DES. Одноключевые криптографические алгоритмы наиболее хорошо известны в огромном мире криптографии. Сравнительные характеристики некоторых из них представлены в табл. 5.1. Все приведенные в табл. 1 одноключевые алгоритмы используют сложный режим шифрования с обратной связью CFB американского федерального стандарта шифрования данных DES.