Раздел: Документация

0 ... 86 87 88 89 90 91 92 ... 169

Унарные функциональные операции можно рассматривать как некоторые бинарные с фиксированным вторым операндом. Из простых обратимых унарных и бинарных логических операций над числами конечной разрядности следует отметить инверсию и операцию побитового исключающего или из арифметических - изменение знака числа, сложение или вычитание в пределах разрядной сетки числа, умножение и деление по модулю простого числа. Если шифрующее преобразование определено как цепочка описанньж выше элементарных операций, то достаточно просто построить обратное ему, если только все элементарные операции в цепочке обратимы. Для этого достаточно выполнить перечисленные ниже требования, которые, хотя и

не являются абсолютно необходимыми, тем не менее исчерпывают практически все случаи эффективно реализуемых преобразований и

потому на практике всегда принимаются во внимание:

1.Все шифрующие преобразования должны принимать на входе и выдавать на выходе блок данных одного и того же размера, не считая дополнительных входов для параметра замены и второго операнда

функционального преобразования.

2.Замены, применяемые непосредственно к шифруемым данным, должны быть обратимыми, параметризованные замены должны быть обратимыми при каждом фиксированном значении параметра.

3.Уравнение функционального преобразования шифруемых

данных с помощью бинарной операции должно быть всегда однозначно разрешимо относительно преобразуемого операнда.

В этом случае для составного шифрующего преобразования, имеющего линейную структуру, можно очевидным образом сконструировать обратное преобразование: оно строится комбинированием обращений его составных частей в порядке, обратном тому, в котором они использовались в исходном преобразовании.

Для того, чтобы прямое и обратное преобразование было возможно реализовать в одном аппаратном блоке или программном модуле, они должны быть идентичны с точностью до используемых ключевых элементов. Это означает, что шифрующее преобразование должно быть «антисимметрично» самому себе - для каждого его шага, находящегося на определенном расстоянии от начала преобразования, на точно таком же расстоянии от его конца должен располагаться обратный ему шаг, использующий тот же самый ключевой элемент:

Т-1 -Т

Если данное условие выполняется, процедуры за- и расшифро-

269

---

вания могут осуществляться одним и тем же программным и аппаратным модулем и отличаются только порядком использования ключевых элементов.

Теперь рассмотрим требование относительно небольшого размера ключа - как было отмечено выше, он не должен быть намного больше размера, достаточного для исключения практической возможности нахождения полным перебором по всему ключевому пространству. Так как этот «критический» размер составляет в настоящее время величину порядка восьми байт, разумный размер ключа не превышает 256 бит. Ясно, что для получения необходимой стойкости шифра придется использовать достаточно большое количество элементарных шаговнуждающихся в наборе ключевых элементов, намного (в разы) превосходящем по размеру ключ. Поэтому во всех шифрах подобного типа применяется процедура «развертывания», с помощью которой из небольшого ключа строится массив ключевых элементов нужного размера.

Процедураключа должна удовлетворять сле-

дующим требованиям:

1.Биты (символы) каждого ключевого элемента должны быть равновероятны и статистическидруг от друга.

2.Биты (символы) каждого ключевого элемента должны быть статистически независимы от битов (символов) нескольких соседних ключевых элементов. Это условие должно выполняться в пределах такого количества шагов шифрования, на котором еще можно проследить статистические зависимости между битами (символами) шифруемых блоков.

Для любой пары шагов шифрующего образования, не обязательно смежных, допускается тем меньшая коррелированность используемых ключевых элементов, чем больше коррелированность выхода первого из них со входом второго. Опять же следует отметить, что

данное требование не является абсолютно необходимым. Нет ничего

страшного, если оно выполняется не в полной мере для отдельных пар шагов преобразования. Однако систематическое игнорирование этого правила приводит к тому, что криптоанализ шифра значительно облегчается. Криптостойкость последовательности ключевых элементов

является необязательным, но весьма полезным ее свойством, так как

сама по себе гарантирует выполнение двух вышеприведенных требований.

Возможны различные подходы к выработке ключевых элементов для шагов шифрования - от самых простых до обладающих слож-

270

---

ностью, сопоставимой со сложностью самого шифра. Например, в качестве ключевых элементов для шагов шифрования можно просто брать фрагменты ключа, как это делается в отечественном стандарте

шифрования. Можно вырабатывать ключевые элементы с помощью

генератора псевдослучайных чисел. Здесь спектр возможных решений чрезвычайно широк - от сравнительно несложных схем выработки гаммы на основе сдвиговых регистров с обратной связью до генерации последовательности элементов с помощью того же самого криптоалгоритма.

Последний подход реализован, например, в шифре BLOWFISH. Конечно, он значительно увеличивает стойкость шифра, но и существенно затрудняет его эффективную реализацию. Например, в упомянутом шифре BLOWFISH построение массива ключевых элементов вычислительно эквивалентно выполнению более 500 циклов шифрования, что делает его непригодным для реального практического использования всюду, за исключением систем, в которых смена ключа происходит достаточно редко и объемы массивов, шифруемых на одном ключе, велики.

Наконец, требование компактности реализации алгоритма с точки зрения кода и используемых постоянных данных приводит к идеологии его построения изгрупп преобразований, повторенных нужное число раз.

В этом случае реализация алгоритма работает итеративно — результат каждой итерации, за исключением последней, является входом для следующей итерации. Кроме того, очевидно, что каждая повторяющаяся группа преобразований, из которых построен криптоалгоритм, должна удовлетворять рассмотренному выше антисимметричности прямого и обратного криптопреобразований, которое в данном случае должно выполняться на уровне отдельных групп. Требование компактности вспомогательных массивов данных можно выполнить, используя на разных итерациях преобразования один и тот же комплект векторов замен. Мы рассмотрели базовые требования, в соответствии с которыми строятся современные шифры:

—построение шифров из простых преобразований - перестановок, подстановок, элементарных функциональных операций и чередование операций различного типа;

—циклическая, итеративная структура алгоритма - одна итерация состоит из нескольких простых преобразований, итерации отличаются друг от друга только использованными ключевыми элементами;

—антисимметричная структура алгоритма,до-

271

0 ... 86 87 88 89 90 91 92 ... 169