Основы криптографии Учебное пособие - Алферов А.П.
ISBN 5-85438-025-0
Скачать (прямая ссылка):
Криптоанализ DES приводит ко многим нелинейным системам уравнений. Дело в том, что каждый бит блока шифртекста является функцией от всех битов блока открытого текста и ключа. Известные аналитические методы вскрытия DES не дают существенного выигрыша по сравнению с полным
перебором всего множества из 256 ключей. К недостаткам алгоритма DES относится небольшое (по современным меркам) число ключей, что дает возможность их полного перебора на быстродействующей вычислительной технике за реальное время.
Официально DES являлся стандартом шифрования данных до 31 декабря 1998 г. В 1997 г. был объявлен конкурс на новый стандарт, который был назван AES (Advanced Encryption Standard). 2 октября 2000 г. Национальный институт стандартов и технологий (НИСТ) США объявил победителя “конкурса AES”. Однако для того, чтобы этот алгоритм завоевал мировое признание, необходимы серьезные исследования его свойств специалистами различных стран.
219
І лава 8
Стандарт шифрования данных ГОСТ 28147-89
В России установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отдельных вычислительных комплексах и ЭВМ. Он определяется ГОСТом 28147-89. Этот алгоритм предназначен для аппаратной и программной реализации, удовлетворяет необходимым криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. Алгоритм реализует шифрование 64-битовых блоков данных с помощью 256-битового ключа.
Схема алгоритма шифрования представлена на рис. 29.
_Nz_
N1
КЗУ
X0(K0)
X1(K1)
X2(K2)
X3(K3)
X4(K4)
Xs(Ks)
X6(K6)
X7(K7)
J1
S
S,
S7
S5
CM1
S4
Г4 1 г 4—
32 1
Ir I
0
CM,
Рис. 29
На приведенной схеме:
Ar,, Ar2 — 32-разрядные накопители;
220
Ьлочные системы шифрования
CMx — сумматор по модулю 232 (операция +);
CM2 — сумматор по модулю 2 (операция ®);
R — 32-разрядный регистр циклического сдвига;
КЗУ — ключевое запоминающее устройство объемом 256 бит, состоящее из восьми 32-разрядных накопителей;
S — блок подстановки, состоящий из восьми узлов замены (,S-блоков замены) S1,S2,...,Ss.
Открытые данные, подлежащие зашифрованию, разбивают на 64-разрядные блоки. Процедура зашифрования
64-разрядного блока T0 включает 32 цикла (7 =1,32). В ключевое запоминающее устройство вводится 256 бит ключа к, записанного в виде восьми 32-разрядных подключей Jcl:
к = Л:7 А:6 Л:5 Л:4 Ar3 Ar2 Ari.
Последовательность битов блока
T0 = (^(0),...,032(0),6,(0),...,632(0))
разбивается на две половины по 32 бита (взятые в обратном порядке):
Ф) = («32 (°)> «зі (0),...,^,(0)), ад = (йз2 (0), 631 (0),...,6,(0)).
Эти векторы вводятся в накопители TV1 и N2 перед началом первого цикла зашифрования. В результате начальным заполнением накопителя N1 является вектор а(0) , а начальным заполнением накопителя N2 — вектор Ь(0).
Пусть
«(У) = («32 (у),.-.,«і О)) - b(J) = (632(7),..,6,(7))
221
fлава 8
— заполнения накопителей N1 и N2 после у-го цикла зашифрования и / — обозначение функции шифрования. Тогда уравнения шифрования представляются в виде:
Jet/) = f(a(j -1) + Vi(mod8)) ф bV ~
\b(j) = aU-l),
при 7 = 1, 24,
J a(J) = /0(7 -1) + *32-ЛтосІ8)) Ф KJ -1),
W) = a(j-l),
при j = 25,31,
Га(32) = а(31),
[б(32) = /(а(31) + А:о)ФЬ(31).
Вычисление значения функции f производится в два этапа. На первом этапе ее 32-битовый аргумент X9 поступающий на блок подстановки S, разбивается на восемь последовательных 4-битовых вектора, каждый из которых преобразуется в некоторый 4-битовый вектор соответствующим
узлом замены Si, / = I5 8. Каждый узел замены можно представить в виде таблицы-перестановки шестнадцати чисел от О до 15, представленных в виде двоичных векторов длины 4. Восемь преобразованных S -блоками векторов последовательно соединяются в 32-битовый вектор S(x). На втором этапе с помощью регистра сдвига R производится циклический сдвиг вектора S(x) влево на 11 позиций.
222
Ьлочные системы шифрования
S -блоки представляют собой ключевые элементы, которые являются общими для каждой сети связи. Они должны храниться в секрете.
Результатом зашифрования блока T0 является блок Tul,
составленный из заполнений накопителей N1 и N2 после 32-го цикла шифрования. При этом биты блока Тш выводятся из накопителей в следующем порядке:
Тш =(^(32),^(32),...,^(32),6,(32),^(32),...,^(32)).
Алгоритм шифрования, опеределяемый ГОСТом 28147-89, из-за значительно большей длины ключа является существенно более стойким, нежели алгоритм шифрования DES.
§ 8.3. Режимы использования блочных шифров
Для решения разнообразных криптографических задач блочные шифры используют в нескольких режимах работы. Рассмотрим этот вопрос на примере шифра DES.
Алгоритм DES может использоваться в следующих четырех режимах:
—режим электронной кодовой книги (ЕСВ — Electronic Code Book)',
—режим сцепления блоков (СВС — Cipher Block Chaining);
— режим обратной связи по шифртексту (CFB — Cipher Feed Back)',
