Проектирование блочного шифра

Проектировать блочный шифр нетрудно. Если вы рассматривает 64-битовый блочный шифр как перестановку 64-битовых чисел, ясно, что почти все эти перестановки безопасны. Трудность состоит в проектировании блочного шифра, который не только безопасен, но также может быть легко описан и просто реализован.

Легко можно спроектировать блочный шифр, если вы используете память, достаточную для размещения S-блоков 48*32. Трудно спроектировать небезопасный вариант DES, если вы собираетесь использовать в нем 128 этапов. При длине ключа 512 битов не стоит беспокоиться о том, нет ли какой-либо зависящей от ключа комплиментарности.

Использование однонаправленных хэш-функций

Сымым простым способом использовать для шифрования однонаправленную хэш-функцию является хэширование предыдущего блока шифротекста, объединенного с ключом, а затем выполнение XOR результата с текущим блоком открытого текста:

C_i = P_i Å H(K, C_i-1)

P_i = C_i Å H(K, P_i-1)

Установите длину блока равной длине результата однонаправленной хэш-функции. По сути это приводит к использованию однонаправленной хэш-функции как блочного шифра в режиме CFB. При помощи аналогичной конструкции можно использовать однонаправленную хэш-функцию и в режиме OFB:

C_i = P_i Å S_i; S_i = H(K, C_i-1)

P_i = C_i Å S_i = H(K, C_i-1)

Надежность такой схемы определяется безопасностью однонаправленной хэш-функции.

Karn

Этот метод, изобретенный Филом Карном (Phil Karn) и открытый им для свободного использования, создает обратимый алгоритм шифрования из определенных однонаправленных хэш-функций.

Алгоритм работает с 32-байтовыми блоками открытого текста и шифротекста. Длина ключа может быть произвольной, хотя определенные дины ключей более эффективны для конкретных однонаправленных хэш-функций. Для однонаправленных хэш-функций MD4 и MD5 лучше всего подходят 96-байтовые ключи.

Для шифрования сначала разбейте открытый текст на две 16-байтовых половины: P_l и P_r. Затем разбейте на две 48-байтовых половины ключ: K_l и K_r.

P= P_l , P_r,

K = K_l , K_r

Добавьте K_l к P_l и выполните хэширование однонаправленной хэш-функцией, затем выполните XOR результата с P_r, получая C_r, правую половину шифротекста. Затем, добавьте K_r к C_r выполните хэширование однонаправленной хэш-функцией. Выполните XOR результата с P_l , получая C_l. Наконец, объедините C_r и C_l , получая шифротекст.

C_r = P_r Å H(P_l, K_l)

C_l = P_l Å H(C_r, K_r)

C = C_l, C_r

Для дешифрирования просто инвертируйте процесс. Добавьте K_r к Cr, выполните хэширование и XOR результата с C_l , получая P_l. Добавьте K_l к P_l, выполните хэширование и XOR результата с C_r , получая P_r.

P_l = C_l Å H(C_r, K_r)

P_r = C_r Å H(P_l, K_l)

P = P_l, P_r

Общая структура Karn совпадает с структурой множества других блочных алгоритмов, рассмотренных в этом разделе. У алгоритма только два этапа, так как его сложность определяется однонаправленной хэш-функцией. А, так как ключ используется только как вход хэш-функции, он не может быть раскрыт даже при помощи вскрытия с выбранным открытым текстом, если, конечно, безопасна используемая однонаправленная хэш-функция.

Luby-Rackoff

Майкл Любы (Michael Luby) и Чарльз Ракофф (Charles Rackoff) показали, что Karn не является безопасным [992]. Рассмотрим два одноблочных сообщения: AB и AC. Если криптоаналитику известны открытый текст и шифротекст первого сообщения, а также первая половина открытого текста второго сообщения, то он может легко вычислить все второе сообщение. Хотя такое вскрытие с известным открытым текстом работает только при определенных условиях, оно представляет собой главную проблему в безопасности алгоритма.

Ее удается избежать при помощи трехэтапного алгоритма шифрования [992,1643,1644]. Он использует три различных хэш-функции: H₁, H₂ и H₃. Дальнейшие исследования показали, что H₁ может совпадать с H₂, или H₂ может совпадать с H₃, но не одновременно [1193]. Кроме того, H₁, H₂ и H₃ не могут быть основаны на итерациях одной и той же базовой функции [1643]. В любом случае при условии, что H(k,x) ведет себя как псевдослучайная функция, трехэтапная версия выглядит следующим образом:

(1) Разделите ключ на две половины: K_l и K_r.

(2) Разделите блок открытого текста на две половины: L₀ и R₀.

(3) Объедините K_l и L₀ и выполните хэширование. Выполните XOR результата хэширования с R₀, получая R₁:

R₁= R₀ Å H(K_l, L₀)

(4) Объедините K_r и R₁ и выполните хэширование. Выполните XOR результата хэширования с L₀, получая L₁

L₁ = L₀ Å H(K_r, R₁)

(5) Объедините K_l и L₁ и выполните хэширование. Выполните XOR результата хэширования с R₁, получая R₂:

R₂= R₁ Å H(K_l, L₁)

(6) Объедините L₁ и R₂, получая сообщение.