вертывание ключа и проверить, нет ли в S-одинаковых элементов Хотя я не думаю, что это так уж необходимо

Мне неизвестно об успешном криптоанализе Blowfish Для безопасности не реализуйте Blowfish с умен ь-шенным числом этапов

Kent Marsh Ltd встроила Blowfish в свой продукт обеспечения безопасности FolderBolt, предназначенный для Microsoft Windows и Macintosh Алгоритм также входит в Nautilus и PGPfone

14.4 SAFER

SAFER K-64 означает Secure And Fast Encryption Routine with a Key of 64 bits - Безопасная и быстрая проц е-дура шифрования с 64-битовым ключом [1009] Этот не являющийся частной собственностью алгоритм, разр а-ботанный Джеймсом Массеем (James Massey) для Cylink Corp используется в некоторых из продуктов этой компании Правительство Сингапура собирается использовать этот алгоритм - с 128-битовым ключом [1010] -для широкого спектра приложение Его использование не ограничено патентом, авторскими правами или др у-гими ограничениями

Алгоритм работает с 64-битовым блоком и 64-битовым ключом В отличие от DES он является не сетью Фейстела (см раздел 14Л0), а итеративным блочным шифром: для некоторого количества этапов применяется одна и та же функция На каждом этапе используются два 64-битовых подключа Алгоритм оперирует только байтами

Описание SAFER K-64

Блок открытого текста делится на восемь байтовых подблоков: B1, B2, • • • , B7, B8• Затем подблоки обрабатываются в ходе r этапов Наконец подблоки подвергаются заключительному преобразованиях На каждом этапе используется два подключа: K2r-1 и К2

На Рис 14-4 показан один этап SAFER K-64 Сначала над подблоками выполняется либо операция XOR, л ибо сложени с байтами подключа К2г-Ь Затем восемь подблоков подвергаются одному из двух нелинейных пр е-образований:

y = 45х mod 257 (Если x = 0, то y = 0/)

y = log45 (Если х = 0, то y = 0z)

Вход этапа (8 байтов) 1 2 3 4 5 6 7 8

xor add add xor xor add add xor 1 K2i-i

add xor xor add add xor xor

1 2 3 4 5 6 7 8 Выход этапа (8 байтов)

Рис. 14-4. Один этап SAFER.

Это операции в конечном поле GF(257), а 45 - элемент поля, являющийся примитивом. В реализациях SAFER K-64 быстрее выполнять поиск в таблице, чем все время рассчитывать новые результаты.

Затем подблоки либо подвергаются XOR, либо складываются с байтами подключа K2r. Результат этого действия проходит через три уровня линейных операций, целью которых является увеличение лавинного эффекта. Каждая операция называется псевдоадамаровым преобразованием (Pseudo-Hadamard Transform, PHT). Если на входе PHT a1 и a2, то на выходе:

b1 = (2a1 + a2) mod 256

b2 = (a1 + a2) mod 256

После r этапов выполняется заключительное преобразование. Оно совпадает с преобразованием, являющи м-ся первым действием каждого этапа. Над B1, B4, B5 и B8 выполняется XOR с соответствующими байтами последнего подключа, а B2, B3, B6 и B7 складываются с соответствующими байтами последнего подключа. В р е-зультате и получается шифротекст.

Дешифрирование представляет собой обратный процесс: сначала заключительное преобразование (с выч и-танием вместо сложения), затем r инвертированных этапов. Обратное PHT (Inverse PHT, IPHT) - это:

a1 = (b1 - b2) mod 256

a2 = (-b1 + 2b2) mod 256

Массей рекомендует использовать 6 этапов, но для большей безопасности количество этапов можно увел и-чить.

Генерировать подключи совсем не трудно. Первый подключ, K1, - это просто ключ пользователя. Последующие ключи генерируются в соответствии со следующей процедурой:

K+1 = (K <<<3i) + с

Символ "<<<" обозначает циклический сдвиг налево. Сдвиг выполняется побайтно, а с,- является константой этапа. Если Су - это у-ый байт константы ,-го этапа, то можно рассчитать все константы этапов по следующей

формуле

Обычно эти значения хранятся в таблице SAFER K-128

Этот альтернативный способ использования ключа был разработан Министерством внутренних дел Синг а-пура, а затем был встроен Массеем в SAFER [1010] В этом способе используются два ключа, Ка и Kb, по 64 бита каждые Прием состоит в том, чтобы генерировать параллельно две последовательности подключей, а затем чередовать подключи из каждой последовательности Это означает, что при выборе Ка = Kb 128-битовый ключ совместим с 64-битовым ключом Ка

Безопасность SAFER K-64

Массей показал, что SAFER K-64 после 6 этапов абсолютно защищен от дифференциального криптоанализа после 8 этапов и достаточно безопасен Уже после 3 этапов против этого алгоритма становится неэффективным и линейный криптоанализ [1010]

Кнудсен (Knudsen) обнаружил слабое место в распределении ключей: практически для каждого ключа сущ е-ствует не меньше одного (а иногда даже девять) другого ключа, который при шифровании какого-то другого открытого текста превращает его в тот же шифротекст [862] Число различных открытых текстов, которые шифруются одинаковыми шифротекстами, находится в промежутке от 2 22 до 228 Хотя такое вскрытие не может повлиять на безопасность SAFER как алгоритма шифрования, оно значительно уменьшает его надежность при использовании в качестве однонаправленной хэш-функции В любом случае Кнудсен рекомендует использовать не меньше 8 этапов

SAFER был спроектирован для Cylink, а Cylink были предъявлены различные обвинения со стороны NSA [80] Я рекомендовал бы потратить несколько лет на интенсивный криптоанализ прежде, чем как-либо испол ь-зовать SAFERz

14.5 3-WAY

3-Way - это блочный шифр, разработанный Джоном Дэйменом (Joan Daemen) [402, 410] Он использует блок и ключ длиной 96 бит, и его схема предполагает очень эффективную аппаратную реализациях

3-Way является не сетью Фейстела, а итеративным блочным шифром У 3-Way может быть n этапов, Дэ й-мен рекомендует 1L

Описание S-Way

Этот алгоритм описать несложно Для шифрования блока открытого текста x: For i = 0 to n - 1

x = x XOR К x = theta (x) x = pi - 1 (x) x = gamma (x) x = pi - 2 (x) x = x © Кп+1 x = theta (x) При этом используются следующие функции:

-theta(x) - функция линейной подстановки, в основном набор циклических сдвигов и XORz

-pi - 1 (х) и pi - 2 (х) - простые перестановки

-gamma (х) - функция нелинейной подстановка Именно это действие и дало имя всему алгоритму, оно представляет собой параллельное выполнение подстановки 3-битовых данных

Дешифрирование аналогично шифрованию за исключением того, что нужно изменить на обратный порядок битов исходных данных и результата Исходный код, реализующий 3-Way, можно найти в конце этой книги

Пока об успешном криптоанализе 3-Way неизвестно Алгоритм незапатентован