шего блочного шифра

Смешение служит для маскировки взаимосвязей между открытым текстом, шифротекстом и ключом По мните, как даже незначительная зависимость между этими тремя вещами может быть использована при дифф е-ренциальном и линейном криптоанализе? Хорошее смешение настолько усложняет статистику взаимосвязей, что не работают даже мощные криптографические средства

Диффузия распространяет влияние отдельных битов открытого текста на как можно большее количество шифротекста Это также маскирует статистические взаимосвязи и усложняет криптоанализ

Для безопасности достаточно одного смешения Алгоритм, состоящий из единственной зависящей от ключа таблицы соответствия 64 битов открытого текста 64 битам шифротекста был бы достаточно сильным Проблема в том, что для такой таблицы потребовалось бы слишком много памяти: 1020 байтов Смысл создания блочного шифра и состоит в создании чего-то похожего на такую таблицу, но предъявляющего к памяти более умеренные требования

Прием состоит в том, чтобы в одном шифре в различных комбинациях периодически перемежать смешив а-ние (с гораздо меньшими таблицами) и диффузиюх Это называется результирующим шифромм Иногда блочный шифр, который включает последовательные перестановки и подстановки, называют сетью перестановок-подстановок (substitution-permutation network), или SP-сетыю

Взгляните снова на функцию f в DESz Перестановка с расширением и P-блок реализуют диффузию, а S-блоки - смешение Перестановка с расширением и P-блок линейны, S-блоки - нелинейные Каждая операция сама по себе очень проста, но вместе они работают очень хорошо

На примере DES также можно показать еще несколько принципов проектирования блочного шифра Первым является идея итеративного блочного шифра При этом предполагается, что простая функция этапа будет п о-следовательно использована несколько раз Двухэтапный DES не очень силен, чтобы все биты результата зав и-сели от всех битов ключа и всех битов исходных данных, нужно 5 этапов [1078, 1080] 16-этапный DES - это сильный алгоритм, 32-этапный DES еще сильнее

Сети Фейстела

Большинство блочных алгоритмов являются сетями Фейстела (Felstel networks) Эта идея датируется нач алом 70-х годов [552, 553] Возьмите блок длиной п и разделите его на две половины длиной n/2: L и Конечно, п должно быть четным Можно определить итеративный блочный шифр, в котором результат j-го этапа определяется результатом предыдущего этапа:

Li = Ri-1

Ri = Li-1 © f(Ri4, Ki)

Ki - это подключ, используемый на j-ом этапе, а f - это произвольная функция этапа

Эту концепцию можно увидеть в DES, Lucifer, FEAL, Khufu, Khafre, LOKI, COST, CAST, Blowfish и других алгоритмах Почему это так важно? Гарантируется, что эта функция является обращаемой Так как для объед и-нения левой половины с результатом функции этапа используется XOR, следующее выражение обязательно я в-ляется истинным:

Li-1 © f(Ri4, Ki) © f(Ri4, Ki)= Li-1

Гарантируется, что шифр, использующий такую конструкцию, обратим, если можно восстановить исходные данные f на каждом этапе Сама функция f неважна, он не обязана быть обратимой Мы можем спроектировать f настолько сложной, насколько захотим, и нам не потребуется реализовывать два различных алгоритма - один для шифрования, а другой для дешифрирования Структура сети Фейстела автоматически позаботится об этом

Простые соотношения

DES обладает следующим свойством: если EK(P) = C, то E(P) = C, где P, C и К - побитовые дополнения P, C и К Это свойство вдвое уменьшает сложность вскрытия грубой силой Свойства комплиментарности алг о-ритма LOKI уменьшают сложность вскрытия грубой силой в 256 раз

Простое соотношение можно определить как [857]:

Если Ek(P) = C, то Em (g(P,K)) = h(C,K)

где /, g и h - простые функции Под "простыми функциями" я подразумеваю функции, которые вычисляются легко, намного легче, чем выполнение итерации блочного шифра В DES f представляет собой побитовое л о-полнение К, g - побитовое дополнение P, а h - побитовое дополнение С Это является результатом вкрапления ключа в часть текста с помощью XORz

Для хорошего блочного шифра не существует простых соотношений. Методы поиска некоторых из подобных слабых мест можно найти в [917].

Групповая структура

При изучении алгоритма возникает вопрос, не образует ли он группу. Элементами группы являются блоки шифротекста для каждого возможного ключа, а групповой операцией является композиция. Изучение групповой структуры алгоритма представляет собой попытку понять, насколько увеличивается пространство шифрования при множественном шифровании.

Полезным, однако, является не вопрос о том, действительно ли алгоритм является группой, а о том, наскол ь-ко он близок к группе. Если не хватает только одного элемента, то алгоритм не образует группу, но двойное шифрование было бы - статистически говоря - просто потерей времени. Работа над DES показала, что DES очень далек от группы. Существует также ряд интересных вопросов о полугруппе, получаемой при шифровании DES. Содержит ли она тождество, то есть, не образует ли она группу? Иными словами, не генерирует ли когда-нибудь некоторая комбинация операций шифрования (не дешифрирования) тождественную функцию? Если так, насколько длинна самая короткая такая комбинация?

Целью исследования является оценка пространства ключей для теоретического вскрытия грубой силой, а р е-зультат представляет собой наибольшую нижнюю границу энтропии пространства ключей.

Слабые ключи

В хорошем блочном шифре все ключи одинаково сильны. Обычно нет проблем и при алгоритме с малым количеством слабых ключей, таком как DES. Вероятность случайно выбрать один из них очень мала, такой ключ легко проверить и при необходимости отбросить. Однако, иногда эти слабые ключи могут быть задейс т-вованы, если блочный фильтр используется как однонаправленная хэш-функция (см. раздел 18.11).

Устойчивость к дифференциальному и линейному криптоанализу

Исследование дифференциального и линейного криптоанализа значительно прояснило теорию проектиров а-ния хорошего блочного шифра. Авторы IDEA ввели понятие дифференциалов, обобщение основной идеи характеристик [931]. Они утверждали, что можно создавать блочные шифры, устойчивые к вскрытиям такого т и-па. Результатом подобного проектирования и является IDEA [931]. Позднее это понятие было формализовано в [1181, 1182], когда Кайса Ниберг (Kaisa Nyberg) и Ларс Кнудсен (Lars Knudsen) показали, как создавать бло ч-ные шифры доказуемо безопасные по отношению к дифференциальному криптоанализу. Эта теория была ра с-ширена на дифференциалы высших порядков [702, 161, 927, 858, 860] и частичные дифференциалы [860]. К а-жется, что дифференциалы высших порядков применимы только к шифрам с малым числом этапов, но части ч-ные дифференциалы прекрасно объединяются с дифференциалами.

Линейный криптоанализ новее, и он все еще совершенствуется. Были определены понятия классификации ключей [1019] и нескольких приближений [811, 812]. Еще одно расширение криптоанализа можно найти в [1270]. В [938] была предпринята попытка объединить дифференциальный и линейный криптоанализ в одном вскрытии. Пока неясно, какая методика проектирования сможет противостоять подобным вскрытиям.

Кнудсен добился некоторого успеха, рассматривая некоторые необходимые (но, возможно, не достаточные) критерии того, что он назвал практически безопасными сетями Фейстела- шифров, устойчивых как к дифференциальному, так и к линейному криптоанализу [857]. Ниберг ввел для линейного криптоанализа аналог понятия дифференциалов в дифференциальном криптоанализе [1180].

Достаточно интересной кажется двойственность дифференциального и линейного криптоанализа. Эта дво й-ственность становится очевидной как при разработке методики создания хороших дифференциальных характ е-ристик и линейных приближений [164, 1018], так и при разработке критерия проектирования, обеспечивающего устойчивость алгоритмов к обоим типам вскрытия [307]. Пока точно неизвестно, куда заведет это направление исследований. Для начала Дэймен разработал стратегию проектирования алгоритма, основанную на диффере н-циальном и линейном криптоанализе [402].

Проектирование S-блоков

Сила большинства сетей Фейстела - и особенно их устойчивость к дифференциальному и линейному кри п-тоанализу - непосредственно связана с их S-блоками. Это явилось причиной потока исследований, что же обр а-зует хороший S-блок.

S-блок - это просто подстановка: отображение m-битовых входов на n-битовые выходы. Ранее я упоминал об одной большой таблице отображения 64-битовых входов на 64-битовые выходы, такая таблица представляла бы собой S-блок размером 64*64 бита. S-блок с m-битовым входом и n-битовым выходом называется m*n-битовым S-блоком. S-блоки обычно являются единственным нелинейным действием в алгоритме, именно они

обеспечивают безопасность блочного шифра В общем случае чем S-блоки больше, тем лучше

В DES восемь различных 6*4-битовых S-блоков В Khufu и Khafre единственный 8*32-битовый S-блок, в LOKI 12*8-битовый S-блок, а в Blowfish и CAST 8*32-битовые S-блоки В IDEA S-блоком по сути является умножение по модулю, это 16*16-битовый S-блок Чем больше S-блок, тем труднее обнаружить статистические отклонения, нужные для вскрытия с использованием либо дифференциального, либо линейного криптоанализа [653, 729, 1626] Кроме того, хотя случайные S-блоки обычно не оптимальны с точки зрения устойчивости к дифференциальному и линейному криптоанализу, сильные S-блоки легче найти среди S-блоков большего ра з-мера Большинство случайных S-блоков нелинейны, невырождены и обладают сильной устойчивостью к лине й-ному криптоанализу - и с уменьшением числа входных битов эта доля снижается медленно [1185, 1186, 1187]

Размер m важнее размера n Увеличение размера n снижает эффективность дифференциального криптоан а-лиза, но значительно повышает эффективность дифференциального криптоанализа Действительно, если n>2m-m, то наверняка существует линейная зависимость для входных и выходных битов S-блока И если n>2m, то линейная зависимость существует только для выходных битов [164]

Заметной частью работы по проектированию S-блоков является изучение логических функций [94, 1098, 1262, 1408] Для обеспечения безопасности булевы функции, используемые в S-блоках, должны отвечать опр е-деленным условиям Они не должны быть ни линейными, ни аффинными, ни даже быть близкими к линейным или аффинным [9, 1177, 1178, 1188] Количество нулей и единиц должно быть сбалансированным, и не должно быть никаких корреляций между различными комбинациями битов При изменении на противоположный л ю-бого входного бита выходные биты должны вести себя независимо Эти критерии проектирования также связ а-ны с изучением функций изгиба: функций, которые, как может быть показано, являются оптимально нелине й-ными Хотя они определены просто и естественно, их изучение очень нелегко [1344, 1216, 947, 905, 1176, 1271, 295, 296, 297, 149, 349, 471, 298]

Очень важным свойством представляется лавинный эффект: сколько выходных битов S-блока изменяется при изменении некоторого подмножества выходных битов Нетрудно задать для булевых функций условия, в ы-полнение которых обеспечивает определенный лавинный эффект, но проектирование таких функций является более сложной задачей Строгий лавинный критерий (strict avalanche criteria, SAC) обеспечивает, что с изм е-нением одного входного бита изменяется ровно половина выходных битов [1586] См также [982, 571, 1262, 399] В одной из работ эти критерии рассматриваются в терминах утечки информации [1640]

Несколько лет назад криптографы предложили выбирать S-блоки так, чтобы таблица распределения разл и-чий для каждого S-блока была однородной Это обеспечило бы устойчивость к дифференциальному криптоан а-лизу за счет сглаживания дифференциалов на любом отдельном этапе [6, 443, 444, 1177] Примером такого проектирования является LOKL Однако такой подход иногда способствует дифференциальному криптоанализу [172] Действительно, лучшим подходом является минимизирование максимального дифференциала Кванджо Ким (Kwangjo Kim) выдвинул пять критериев проектирования S-блоков [834], похожих на критерии проектир о-вания S-блоков DESz

Выбор хороших S-блоков - не простая задача, существует множество различных идей, как лучше сделать эт Можно выделить четыре главных подхода

L Случайно выбрать Ясно, что небольшие случайные S-блоки небезопасны, но большие случайные S-блоки могут оказаться достаточно хороши Случайные S-блоки с восемью и более входами достаточно сильны [1186, 1187] Еще лучше 12-битовые S-блоки Устойчивость S-блоков возрастает, если они одновременно являются и случайными, и зависящими от ключа В IDEA используются большие зависящие от ключа S-блоки

2z Выбрать и проверите В некоторых шифрах свойства S-блоков, генерированных случайным образом, проверяются Примеры такого подхода содержатся в [9, 729]

3z Разработать вручную При этом математический аппарат используется крайне незначительно: S-блоки создаются с использованием интуитивных приемов Барт Пренел (Bart Preneel) заявил, что теор е-тически интересные критерии недостаточны [для выбора булевых функций S-блоков] и что н е-обходимы специальные критерии проектирования" [1262]

4z Разработать математически S-блоки создаются в соответствии с математическими законами, поэтому они обладают гарантированной надежностью по отношению к дифференциальному и линейному криптоанализу, а также хорошими диффузными свойствами Прекрасный пример такого подхода можно найти в [1179]

Существует ряд призывов объединить "математический" и "ручной" подходы [1334], но реально, по вид и-мому, конкурируют случайно выбранные S-блоки и S-блоки с определенными свойствами Конечно преимущ е-ством последнего подхода является оптимизация против известных методов вскрытия - дифференциального и линейного криптоанализа - но обеспечиваемая этим подходом степень защиты от неизвестных методов вскр ы-