Сучасний стан алгоритмів блочного симетричного

шифрування

Підготовив : Лопіт І.І.

Анотація В даній роботі порушені проблеми сучасного стану алгоритмів

блочного симетричного шифрування їх безпечність стійкість, надана порівняльна характеристика кожного з них і криптографічний аналіз.

Робота можна поділити на наступні частини. Вимоги до алгоритмів БСШ. В цій частині описані основні вимоги, які були поставлені до шифрів на початку 2000-их років. Також наведена таблиця порівняння основних характеристик. Шляхи розвитку. В цьому розділі представлені основні загрози за останні 10 років які суттєво впливають на розвиток блочних шифрів. Висновок в якому вказані гіпотези щодо подальшого розвитку алгоритмів і вирішенню поточних проблем.

ВступОсновне ядро сучасних алгоритмів симетричного

блочного шифрування (СБШ) було сформовано на початку нового тисячоліття. Саме в цей час був проведений конкурс AES (Advanced Encryption Standard, Вдосконалений стандарт шифрування) від NIST (англ. The National Institute of Standardsand Technology – Національний Інститут стандартів та технологій ) 1998-2001, започатковані відповідні аналоги в Європі – проект NESSIE (англ. New European Schemes for Signatures, Integrity, andEncryptions, Нові європейські алгоритми для електронного підпису, цілісності та шифрування) 2000-2003, японський проект – CRYPTEC (англ.Cryptography Research and EvaluationCommittees – Комітет криптографічних досліджень та оцінки ) з 2000 року. За результатами цих конкурсів були відібрані алгоритми які стали де факто світовими стандартами.

Вимоги до алгоритмівНа основі умов представлених до алгоритмів

проектами, можна вивести узагальнені вимоги до БСШ на початку 2000 років.

Юридичні:- алгоритм не повинен бути засекреченим, а відкритим для аналізу та побудови та використання;- повинен поширюватись по всьому світі на не ексклюзивних умовах і без плати за користування патентом;- повинен відповідати потребам промисловості та уряду, і мати можливість міжнародного використовування

Стійкість:- алгоритм повинен бути стійкий до всіх відомих на теперішній час атак і протистояти майбутнім;- не піддаватись крипто логічному розкриттю;- мати міцний математичний фундамент;- результати шифрування повинні бути статистично рівно ймовірними- захист від повного перебору не менше ніж 10 років.

Швидкодія:- обчислювальна ефективність (швидкодія) на різних платформах- Низькі потреби до пам’яті

Гнучкість:- можливість ефективної реалізації на 8,32,64 бітних платформах- ефективна програмна та апаратна реалізація- можливість реалізації алгоритму в якості поточного шифру, алгоритму хешування, ГПВЧ та ін..- ефективна робота алгоритму з різними довжинами ключів і блоків тексту.

Структурно габаритні вимоги:- розмір блоку 64,128,256- розмір ключа 128,192,256

Обрані алгоритмиФіналісти конкурсу американського конкурсу AES від

NIST :

• AES (Rindel) – Вінсент Реймен, Йоан Даймен, 1998 рік;

• MARS – корпорація ІВМ, 1998 рік;

• RC6 – Рональд Райвест, М. Робшоу, Р. Сідні, 1998 рік;

• Serpent – Росс Андерсон, Елі Біхам, Ларс Кнудсен, 1998 рік;

• Twofish – група спеціалістів під керівництвом Брюса Шнайера, 1998 рік

СБШ рекомендовані японським проектом CRYPTEC:

• AES

• Camellia – Mitsubishi, NTT, 2000 рік;

• CIPHERUNICORN-A – NEC, 2000 рік;

• Hierocrypt-L1 – Toshiba, 2000 рік;

• Hierocrypt-3 – Toshiba, 2000 рік;

• SC2000 – Fujitsu, 2000 рік;

• Triple DES

Алгоритми запропоновані NESSIE

• MISTY1 – Matsui Mitsuru, Ichikawa Tetsuya та ін. 1995 рік;

• AES

• Camellia

• SHACAL-2 – Helena Handschuh, David Naccache, 2000 рік;

Алгоритм СБШ Розмір

Блоку ,біт

Розмір

ключа,біт

Кількість

раундів

Набір операцій Схема

Побудови

Алгоритму

AES (Rindel) 128 128,192,256 10,12,14 S, P, Br, операції в полі Галуа SP-мережа

Camelia 128 128,192,256 18,24 S, P, XOR, Br, Bs, AND, OR, NOT Мережа

Фейстеля

CIPHERUNICORN-A 128 128, 192, 256 16 S, MULT, MOD, XOR, Br, AND Мережа

Фейстеля

Hierocrypt-L1 64 128 6.5 S, XOR SP-мережа

Hierocrypt-3 128 128, 192,256 6.5, 7.5, 8.5 S, XOR SP-мережа

Idea NXT 64-128 0-256 2-255 S, P, XOR, MULT, OR Лай-Месселя

MARS 128 128 - 448 32 S, P, ADD, SUB, XOR, Br,

Mult mod232

Мережа

Фейстеля

MISTY1 64 128 4xn S, XOR, AND, OR SP - мережа

PRESENT 64 80,128 31 S, P ,ADD, XOR, BR SP - мережа

RC6 змінний Змінний змінна XOR, Br ,ADD SUB MULT mod232 Модифікована

мережа

Фейстеля

Serpent 128 128,192,256 32 Br,XOR,Bs SP - мережа

SC2000 128 128,192,256 6.5,7.5 XOR, AND, OR, SUB, ADD, MUL інша

SHACAL-2 256 128-512 80 XOR, OR, AND, Br, ADD інша

Twofish 128 128,192,256 16 Br, XOR, S, ADD mod232 Мережа

Фейстеля

Шляхи розвитку Як і будь яка галузь науки криптологія не стоїть на місці.

За ці десть років багато чого змінилось в сучасному стані. Створюються нові алгоритми, досліджуються старі. Можна прослідити два основні шляхи розвитку :

Екстенсивний – нарощування розміру блоку, ключа.

Інтенсивний – удосконалення блоків підстановки, дифузії, знаходження нових крипто примітивів і удосконалення наявних, пошук нових засобів протидії крипто аналізу і нових методів аналізу.

ЕкстенсивнийЕкстенсивний метод здебільшого захищає від атаки

повного перебору , а нарощування кількості раундів захищає від інших типів атак. Для того щоб зрозуміти чи доцільне нарощування розміру ключа, прослідкуємо основні загрози. Згідно закону Мура кожні 18 місяців відбувається подвоєння кількості транзисторів на обчислювальній техніці, відповідно можна припустити що за цей період, швидкодія виросте в 2 рази також. Хоча десять років назад компанія Intel і прогнозувала процесори 10 Ггц до 2011 року, реальність виявилась зовсім іншою. Хто б міг подумати, що головна обчислювальна потужність буде не в CPU а у графічних процесорів. Для наглядності нижче графік приросту операції з плаваючою комою за останні 10 років

CPU vs GPU

Частота процесорів Intel

Використання Botnet мережІншою проблемою для сучасної криптології може

постати створення злочинних обчислювальних мереж на основі ботнет мереж. В своїй книзі «Прикладна криптологія» Брюс Шнаєр висунув гіпотезу, про створення розподілених обчислювальних мереж на основі вірусів, основною проблемою того в той час було узгодження результату.

І тут на допомогу приходять ботнет мережі. За оцінкою творця протоколу ТСР/ІР Вінта Серфа близько 25% з 600 млн. комп’ютерів підключених до Інтернету можуть знаходитись в ботнетах. За офіційними даними їх чисельність може становити до 30 млн. машин (BredoLab - 30 млн. , Mariposa - 12 млн. , Сonficker – 10 млн.). На даний час основним заняттям ботнетівє спам і DDos атаки. Але якщо поєднати їх велику кількість машин і потужності сучасних графічних процесорів для здійснення розподіленої атаки то можна добитись досить цікавих результатів. Як відомо комп’ютер простоює в 70-90% часу від загальної роботи. Основне навантаження при роботі сучасного комп’ютера лягає на центральний процесор. Жертва навіть не запідозрить те що вона є учасником злочинної мережі.

Як було вже сказано, основним завдання інтенсивного шляху є створення та дослідження нових досконаліших алгоритмів БСШ, алгоритмів аналізу і протидії крипто -графічному розкриттю. В науковій криптографії шифр рахується зламаним, якщо в системі знайдено слабке місце, яке може бути використано для ефективнішого злому, ніж методом повного перебору ключів. Припустимо, для розшифрування методом повного перебору потрібно використати 2128 операцій, тоді якщо буде знайдений спосіб який дозволить скоротити цю кількість до 2100 операцій, то шифр зламаний. Дані методи можуть потребувати великої кількості підібраного відкритого тексту або пам’яті. Під успішним взломом розуміють лише підтвердження про наявність вразливостей в алгоритмі, які свідчать про те, що він не відповідає заявленій характеристиці.

Зазвичай аналіз алгоритму починається з атаки на редуковану версію. Вона може мати зменшену кількість раундів, відсутність деяких функцій і.т.д.. Спроба крипто аналізу називається атакою.

Алгоритм СБШ Розмір ключа К-сть раундів Тип атаки Потреби Час

AES (Rindel) 128

192

256

повна

повна

повна

Biclique

Biclique

Biclique

28

28

28

2126.18

2189.74

2254.42

Camellia 128

192

256

9

10

11

Square

Impossible differential

High-order differential

248

2121

293

2122

2175.3

2255.6

CIPHERUNICORN-A * * * * *

CIPHERUNICORN-E * * * * *

Hierocrypt-3 192,256 3.5 Square-like 22x232CP , 2168 SG, 2183 SL 2176

Hierocrypt-L1 128 3.5 Square-like 14x232CP , 2104 SG, 2118 SL 2111

MARS 256 12c Differential CP 265 data 269 2252

MISTY1 128 7 Differential data 254.1 2120.8

RC6

RC6

RC6

128

192

256

12

16

18

x2

x2

Multiple Linear

CP 2109.21 data 252

CP 2127.2

CP 2127.423

2126.52

2181.2

2193.42

Serpent 128,192,256

256

256

11

12

12

linear

linear

linear

CP 2116 data 2104

CP 2118 data 2228

CP 2116 data 2121

2107.5

2228.8

2237.5

SC2000 128 5 Differential CP 2125.68 2125.75

SHACAL-2 512 44 Related-key rectangle 2233 RK-CP 2238 Mem 2497.2

Twofish

Twofish W

Twofish W

Twofish W

256

128

192

256

6

6

6

6

Impossible differential

Impossible differential

Impossible differential

Impossible differential

2256

2128

2160

2192

ВисновокОсновною загрозою на даний момент є утворення

злочинних обчислювальних мереж на основі технології Botnet I CUDA.Отже на протязі 5-10 років доцільним буде використання розміру ключа від 192 біт.

Аналіз основних публічних матеріалів по криптоаналізупоказав,що сьогоднішні алгоритми мають високу стійкість і оправдовують покладену на них довіру.

Потреба в новому конкурсу на зразок AES на наступні 10-15 років відпадає.