Русская Википедия:DEAL

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Шаблон:Карточка блочного шифра

В криптографии, DEAL (Алгоритм Шифрования Данных с Крупными блоками — англ. Data Encryption Algorithm with Larger blocks) — это блочный шифр, производный от DES. DEAL был впервые представлен Ларсом Кнудсеном в виде доклада на конференции Selected Areas in Cryptography в 1997 году. Впоследствии этот же алгоритм был представлен Ричардом Аутербриджем на конкурсе AES в 1998 году.

DEAL представляет собой сеть Фейстеля использующую DES как функцию в раунде сети. Удовлетворяя требованиям AES, DEAL имеет длину блока 128 бит и длину ключа 128, 192 или 256 бит. В случае длины в 128 или 192 бит используется 6 раундов, в случае 256 бит — 8 раундов. Алгоритм сопоставим по производительности с Triple DES, но по сравнению с конкурентами в конкурсе AES алгоритм оказывается довольно медленным.

Предпосылки к созданию

К 1998 году стало ясно, что существовавший до этого на правах стандарта шифр DES совершенно не удовлетворяет требованиям времени. Было показано, что за сумму порядка одного миллиона долларов можно создать устройство, перебирающее все ключи DES меньше чем за 3,5 часа. Существовавшая альтернатива — «тройной DES» — так же не обеспечивал требуемой надежности, так как (в некоторых режимах своей работы) уязвим для атаки по подобранному шифро-тексту. Учитывая широкую распространённость DES к тому моменту (в том числе в виде эффективных аппаратных реализаций) Ларсом Кнудсеном был предложен шифр DEAL — шифр с Фейстелевой структурой, использующий DES в качестве раундовой функции и имеющий r раундов. Таким образом DEAL представляет собой шифр с размером блока 128 бит и r — 64 битами раундовых ключей, вычисляемых с помощью алгоритма расписания ключей. Расписание ключей предусматривает что размер исходного ключа один принимает одно из трёх различных значений: 128, 192 или 256 бит. Для первых двух размеров ключей предлагалось положить r = 6, а при размере ключа 256 бит r = 8. Полученный таким образом ключ по скорости сопоставим с Triple DES

Алгоритм

Режимы работы с ключами длиной 128, 192 и 256 бит обозначаются соответственно DEAL-128, DEAL-192 и DEAL-256. Каждая из модификаций с разными длинами ключа может использовать все четыре стандартных режима DES-а.

Режим ECB

Рассмотрим первый режим работы — ECB (Electronic Code Book). Обозначим С = <math> E_B </math>(А) результат шифрования 64-битного блока А на ключе В, и Y = <math> EA_Z </math>(X) — результат шифрования с помощью DEAL-128 блока X на ключе Z. Согласно требованиям AES, исходный текст Р разбивается на блоки <math>P_i</math> по 128 бит каждый, <math> P = P_1, P_2.., P_n </math> Из исходного ключа K с помощью расписания ключей получается r ключей для работы DES <math>RK_i</math>, где i = 1, …, r. Алгоритм расписания описан ниже. Обозначим <math>X^L</math> и <math>X^R</math> как «левую» и «правую» части блока Х соответственно. Шифрование описывается следующими выражениями:
Положим <math>X^R_0 = P^R_i</math> и <math>X^L_0 = P^L_i</math>, и вычислим для j = 1,.. ,r

<math>X^L_j = E_{RK_i}(X^L_{j-1}) \oplus X^R_{j-1}</math>
<math>X^R_j = X^L_{j-1}</math>

Положим <math> C_i = X^L_r \parallel X^R_r </math>

Файл:Deal-round-function.svg
Один раунд DEAL

На рисунке изображена одна итерация цикла для DEAL. Для DEAL-128 и DEAL-192 используются 6 циклов, полагая r = 6. Однако, такого количества раундов может оказаться недостаточно для DEAL-256, в котором необходимо использовать большее количество раундов: r = 8. По замыслу разработчиков DEAL-256 должен использоваться только когда требуется особенно сильное шифрование.

В заключительном раунде DEAL «правая» и «левая» половинки блока так же меняются (а не остаются на местах как в DES). Это обусловлено следующем: «правая» часть шифруемого блока <math> C_i </math> не шифруется в последнем раунде i-го прохода DEAL, и только «левая» половина блока на i + 1-м проходе (исходный блок которого равен <math> C_i \oplus P_{i+1} </math>) шифруется в первом раунде. Это означает, что «правая» часть <math> C_i </math> не будет шифроваться вообще в течение двух раундов. Это можно рассматривать как уязвимость алгоритма, учитывая что с DEAL используется всего 6 или 8 раундов. Подобной «особенностью» обладает и DES в режиме CBC. Но, учитывая что у DES 16 раундов, это не становиться столь яркой уязвимостью. Так или иначе — эта перестановка не влияет на стойкость блочного шифра в режиме ECB

Режим CBC

Итак, обозначим блоки открытого текста по 128 бит <math> P_1, P_2,.. , P_n </math> и <math> C_1, C_2,.. , C_n </math> — соответствующие им блоки шифр-текста. Тогда используя рекуррентное соотношение: <math> C_i = EA_K(C_{i-1} \oplus P_i) </math>, где <math> C_0 </math> — начальное значение
получаем шифроблоки в режиме CBC.

Расписание ключей

Входными параметрами для расписания ключей являются s ключей DES, каждый по 56 бит плюс 8 «проверочных» бит. Для разных исходных длин ключа s = 2, 3, 4, и входные ключи обозначаются: <math> K_1.., K_s </math>. На выходе получаем r ключей DES, <math>RK_i</math>. Расписание ключей единообразно для всех трёх длин исходного ключа. Сначала расширяем s ключей до r ключей, создавая отсутствующие ключи операцией XOR с новой константой для каждого нового ключа. Константа используется чтобы исключить слабые ключи. К полученным ключам применим DES в режиме CBC с фиксированным ключом и нулевым начальным значением. Из полученных блоков шифр-текста и формируются подключи <math> RK_i</math>. Далее — точные описания вышеописанных операций. Здесь <math> K = 0x1234</math> <math>5678 90ab</math> <math>cdef_x</math> (шестнадцатеричное число) — фиксированный ключ для DES.
В DEAL-128 подключи генерируются следующим образом:

<math> RK_1 = E_k(K^1_1), </math>
<math> RK_2 = E_k(K_2 \oplus RK_1), </math>
<math> RK_3 = E_k(K_1 \oplus \langle 1 \rangle \oplus RK_2), </math>
<math> RK_4 = E_k(K_2 \oplus \langle 2 \rangle \oplus RK_3), </math>
<math> RK_5 = E_k(K_1 \oplus \langle 4 \rangle \oplus RK_4), </math>
<math> RK_6 = E_k(K_2 \oplus\langle 8 \rangle \oplus RK_5), </math>

где <math> \langle i \rangle </math> — 64-битное целое число, в котором i — 1-й бит (нумерация с 0) установлен в «1», а остальные — в «0». Например, <math> \langle 1 \rangle </math> может быть представлено как шестнадцатеричное «<math> K = 0x8000</math> <math>0000 0000</math> <math>0000_x</math>».

В DEAL-192 подключи генерируются следующим образом:

<math> RK_1 = E_k(K^1_1), </math>
<math> RK_2 = E_k(K_2 \oplus RK_1), </math>
<math> RK_3 = E_k(K_1 \oplus \oplus RK_2), </math>
<math> RK_4 = E_k(K_2 \oplus \langle 1 \rangle \oplus RK_3), </math>
<math> RK_5 = E_k(K_1 \oplus \langle 2 \rangle \oplus RK_4), </math>
<math> RK_6 = E_k(K_3 \oplus\langle 4 \rangle \oplus RK_5), </math>

В DEAL-256 подключи генерируются следующим образом:

<math> RK_1 = E_k(K^1_1), </math>
<math> RK_2 = E_k(K_2 \oplus RK_1), </math>
<math> RK_3 = E_k(K_3 \oplus RK_2), </math>
<math> RK_4 = E_k(K_4 \oplus RK_3), </math>
<math> RK_5 = E_k(K_1 \oplus \langle 1 \rangle \oplus RK_4), </math>
<math> RK_6 = E_k(K_2 \oplus \langle 2 \rangle \oplus RK_5), </math>
<math> RK_7 = E_k(K_3 \oplus \langle 4 \rangle \oplus RK_6), </math>
<math> RK_8 = E_k(K_4 \oplus \langle 8 \rangle \oplus RK_7), </math>

Таким образом для генерации раундовых ключей DEAL необходимо 8 «проходов» DEAL. Чтобы не тратить процессорное время эти ключи следует сохранить для всего процесса шифрования или расшифрования.

Стойкость алгоритма

Анализ алгоритма показал множество недостатков: наличие подмножеств слабых ключей, подверженность дифференциальному криптоанализу, отсутствие усиления при использовании 192-битных ключей по сравнению с 128-битными. Во-первых, алгоритм расписания ключей не дает достаточно сильных ключей. Действительно, в случае «нулевого» исходного ключа DEAL раундовые ключи получаются слабыми: у первых трёх только один-два бита отличаются от нулей. Во-вторых, после разбиения исходного блока на два по 64 бита, полученные шифротексты «сшиваются» либо с помощью CBC, либо конкатенацией. Такая схема уязвима для дифференциального анализа. Получаемая надежность оказывается порядка <math>2^{65} </math>, вместо <math>2^{128} </math>.

В связи с этими недостатками шифр DEAL не смог пройти в финал конкурса AES, и не рассматривался как кандидат в промышленный стандарт. Но тем не менее он получил некоторое распространение.

Литература

Ссылки

Шаблон:Симметричные криптоалгоритмы