Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
Если DES реализуется в аппаратуре, то с его помощью может быть достигнута очень высокая скорость шифрования и дешифрования. В наиболее быстром в настоящее время коммерчески используемом шифраторе скорость шифрования достигает 90 мегабит в секунду2. Описание других аппаратных реализаций можно найти в [256, 13, 217, 351]. Добиться высокого быстродействия схем можно, если при их проектировании правильно использовать идеи, изложенные в [137]. Указанное быстродействие вполне достаточно для того, чтобы зашифровывать или расшифровывать данные без потери скорости при чтении или записи их на диск, и оно вполне приемлемо для большинства прикладных программ передачи данных. Довольно приличные скорости — до 650 килобит в секунду на 80-ой модели IBM PS/2 —
2 В этом абзаце указаны данные на 1993 год, которые приведены во французском издании книги.
Режимы операций 39
можно получить также посредством только программной реализации [205]. Относительно других программ, реализующих DES см. [138, 359, 160].
§ 5. Режимы операций
Рассмотрим криптографическую систему наподобие DES, в которой пространство сообщений состоит из блоков длиной по 64 бита. Как с ее помощью нужно шифровать более длинные сообщения? Очевидное решение состоит в том, чтобы разбить текст сообщения на отрезки длиной по 64 бита каждый и шифровать их последовательно и независимо, используя один и тот же секретный ключ. Однако такого подхода, который известен под названием режима электронной кодовой книги (ЕСВ), необходимо максимально избегать везде, где только возможно. Наиболее очевидная его слабость заключается в том, что два одинаковых отрезка шифрованного текста однозначно указывают криптоаналитику, что два соответствующих им отрезка открытого текста также идентичны. Подобная информация может быть очень ценной отправной точкой для вычисления всего открытого текста. Если же DES используется с целью подтверждения подлинности (аутентификации), то ситуация оказывается еще хуже (см. § 5.1).
Существует по крайней мере четыре альтернативы режиму ЕСВ. Во всех этих режимах два одинаковых блока открытого текста (почти наверняка) шифруются по-разному. В режимах СВС и CFB (которые описываются ниже) надлежащим образом используется понятие рассеивания: каждый блок шифртекста зависит от всего предшествующего ему открытого текста. Это делает их пригодными, для целей аутентификации, так как таким образом в них предотвращаются попытки удаления и вставки нарушителем предварительно преобразованных частей шифртекста (см. § 5.1). Кроме того, оба этих режима являются са-мосинхронизирующимися в том смысле, что если при передаче возникает ошибка или, если в процессе шифрования и дешифрования происходит случайный сбой, или даже, если теряется некоторый, причем неизвестно какой, блок шифртекста, то при этом могут быть неправильно дешифрованы лишь несколько блоков открытого текста. В режимах OFB и счетчика (которые также описаны ниже) могут одинаково хорошо исправляться случай-
40 Системы с секретным ключом
Глава 3
ные ошибки передачи, хотя ошибки других типов исправляются не так легко.
Теперь кратко опишем каждый из этих режимов. За более подробными сведениями обращайтесь к [278, 142]. Несмотря на то, что мы будем рассматривать все режимы только с использованием DES, должно быть очевидно, что они могут применяться точно так же и в любой другой криптографической системе, основанной на пространстве сообщений, в котором все блоки имеют заданный размер. В режиме сцепления блоков шифра (СВС) секретным ключом является 64-разрядный DES-ключ к (точнее его секретная 56-битовая часть) и некий 64-битовый блок со (при этом секретность cq не является обязательной). Открытый текст m разбивается на блоки, длиной по 64 бита каждый, таким образом, что то = ГП1ГП2 ... т„. Для i = 1, 2, ..., п блок с,- шифртекста вычисляется по формуле с,- = DFSfc(m,- ф c,_i), где через ф обозначена операция поразрядного исключающего или (0 ф 0 == О, 0ф1 = 1,1ф0 = 1и1ф1 = 0). В результате получается шифртекст с = С\С2 ¦ ¦ ¦ сп. Для заданного шифртекста при знании к и со дешифрование осуществляется посредством вычисления ш,- для г = 1, 2, ..., п по формуле пг,- = с,_i ф DFS^‘1(c,). Из нее становится понятно, почему не распространяются ошибки при использовании режима СВС — ведь каждый блок открытого текста ш,- зависит только от двух блоков с,_ i и с* шифртекста. Поэтому одна ошибка при передаче может привести к неправильному дешифрованию только двух блоков открытого текста. Этот режим может (и должен) использоваться также в криптографических системах с открытым ключом (в частности в RSA, которая обсуждается в § 4.4), когда размер шифруемого сообщения больше, чем размер блока.
В режиме обратной связи по шифртексту (CFB) открытый текст разбивается не обязательно на 64-битовые блоки. Размер блока задается с помощью числового параметра t, 1 t 64. Открытый текст то в этом случае представляется в виде т = mim2 ... тп, где каждая его часть ш,- является ^-битовым блоком. С самого начала в сдвиговый 64-разрядный регистр записывается некоторое значение so, которое может быть либо частью секретного ключа, либо пересылаться в открытом виде перед передачей шифртекста сообщения (таким образом, чтобы его можно было каждый раз менять). Затем для г = 1, 2, ..., п
