Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
В заключение отметим, что, как и алгоритм DES, алгоритм AES вызывает пристальное внимание со стороны криптоаналитиков, изучающих блочные шифры, что, несомненно, приведет в дальнейшем к появлению новых открытий в этой области.
7.8 Режимы шифрования
В ходе шифрования и расшифровки с помощью блочных шифров сообщения интерпретируются как блоки данных. Как правило, длина строки превосходит размер блока, поэтому сообщения разбиваются на ряд последовательных блоков, которые обрабатываются поочередно.
Для алгоритмов блочного шифрования разработаны разные режимы. Эти режимы (за исключением тривиальных) обеспечивают требуемые свойства блочных шифрованных текстов, например, случайность, возможность выравнивания исходных сообщений до произвольного размера (так чтобы длина зашифрованного текста не была связана с длиной исходного текста), контроль за распространением ошибок, генерацию бегущего ключа для потокового шифра и т.п.
Однако не следует считать, что применение этих режимов шифрования может превратить "учебный" криптографический алгоритм в практичный прикладной метод. В этом мы еще не раз убедимся (в частности, в разделе 7.8.2.1, где рассматривается активная атака на некоторые протоколы, широко используемые в реальных приложениях).
'UNIX — торговая марка компании Bell Laboratories.
276
Часть III. Основные методы криптографии
Существуют пять общепринятых видов режимов: электронная кодовая книга (electronic codebook — ЕСВ), сцепление блоков зашифрованного текста (cipher block chaining — СВС), обратная связь по выходу (output feedback — OFB), обратная связь по зашифрованному тексту (cipher feedback — CFB) и счетчик (counter — CTR). Дальнейшее описание следует новейшим рекомендациям института NIST [218]. В нем используются следующие обозначения.
• ? (): алгоритм шифрования с помощью соответствующего блочного шифра;
• Т>(): алгоритм расшифровки с помощью соответствующего блочного шифра;
• п: бинарный размер блока сообщения, зашифрованного с помощью соответствующего блочного шифра (во всех рассматриваемых нами блочных шифрах пространства исходных и зашифрованных текстов совпадают, и поэтому число п представляет собой размер входных данных и результатов работы алгоритма блочного шифрования);
• Pi, Р2,..., Pm — последовательных сегментов исходного сообщения, подвергающегося обработке;
— если m-й сегмент короче других сегментов, он дополняется до стандартной длины;
— в некоторых режимах шифрования размер сегмента сообщения равен п (размеру блока), а в других режимах он может не превышать число п;
• С\, С2, ¦ ¦ ¦, Cm : т последовательных сегментов зашифрованного сообще-' ния, являющегося результатом применения определенного режима шифро-| вания;
• LSBu(jB), MSB^(S): младший, и, и старший, v, значащие биты блока В\ соответственно; например
LSB2(1010011) = 11,MSB5(1010011) = 10100;
• А || В: конкатенация блоков А и В; например,
LSB2(1010011) || MSB5(1010011) = 11 И 10100 = 1110100.
7.8.1 Режим электронной кодовой книги (ЕСВ)
Наиболее простой способ шифрования (или расшифровки) последовательно-», сти сегментов сообщения — обрабатывать их по отдельности. В этом случае сегмент сообщения становится блоком. Поскольку этот простой и естественный способ напоминает присваивание кодовых слов, взятых из шифровальной книги, он получил название "электронная кодовая книга (ЕСВ)" (в русскоязычной литературе этот метод называется режимом простой замены. — Прим. ред.). Режим ЕСВ определяется следующим образом.
Глава 7. Шифрование — симметричные методы
277
Шифрование в режиме ЕСВ: С{ <— ?(Pi), ъ — 1,2,..., т. Расшифровка в режиме ЕСВ: Д <— ?(С»), г = 1,2,..., т.
Режим ЕСВ является детерминированным, т.е. если сегменты Pi, Р2,...,Рт шифруются дважды с помощью одного и того же ключа, то результирующие блоки зашифрованного текста будут одинаковыми. В приложениях данные, как правило, содержат информацию, которую легко угадать. Например, нетрудно определить зарплату сотрудников, поскольку она колеблется в небольшом диапазоне. В таких ситуациях зашифрованный текст, полученный в результате применения детерминированной схемы шифрования, позволяет атакующему угадать исходное сообщение методом последовательного перебора вариантов. Например, если известно, что зашифрованный текст, полученный методом ЕСВ, содержит размеры зарплат, то после небольшого перебора вариантов атакующий может расшифровать эти данные. Как правило, детерминированные шифры применять не рекомендуется, и по этой причине режим ЕСВ не следует использовать в большинстве приложений.
7.8.2 Режим сцепления блоков зашифрованного текста (СВС)
Режим сцепления блоков зашифрованного текста представляет собой общепринятый алгоритм блочного шифрования данных, имеющих общий характер. В режиме СВС результат шифрования представляет собой последовательность п-битовых блоков зашифрованного текста, сцепленных друг с другом. Таким образом, все блоки зашифрованного текста зависят не только от соответствующего блока исходного текста, но и от всех предыдущих блоков. Режим СВС состоит из следующих операций.