Русская Википедия:FEAL

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Шаблон:Карточка блочного шифра FEAL (англ. Fast data Encipherment ALgorithm) — блочный шифр, разработанный Акихиро Симидзу и Сёдзи Миягути — сотрудниками компании NTT.

В нём используются 64-битовый блок и 64-битовый ключ. Его идея состоит и в том, чтобы создать алгоритм, подобный DES, но с более сильной функцией этапа. Используя меньше этапов, этот алгоритм мог бы работать быстрее. К тому же, в отличие от DES, функция этапа для FEAL не использует S-блоки, поэтому реализация алгоритма не требует дополнительной памяти для хранения таблиц заменыШаблон:Sfn.

История

Опубликованный в 1987 году Акихиро Симидзу и Сёдзи Миягути блочный шифр FEAL был разработан с целью повысить скорость шифрования без ухудшения надежности шифра, по сравнению с DES. Первоначально алгоритм использовал блоки размером 64 бита, ключ размером 64 бита и 4 раунда шифрования. Однако, уже в 1988 году была опубликована работа Берта ден Боера (Шаблон:Lang-en) , доказывающая достаточность владения 10000 шифротекстов для проведения успешной атаки на основе подобранного открытого текстаШаблон:Sfn. К шифру FEAL одному из первых был применен линейный криптоанализ. В том числе в 1992 году Митсуру Мацуи и Ацухиро Ямагиси доказали, что достаточно узнать 5 шифротекстов для проведения успешной атакиШаблон:Sfn.

Для борьбы с обнаруженными уязвимостями создатели удвоили число раундов шифрования, опубликовав стандарт FEAL-8. Однако, уже в 1990 году Генри Гилберт (англ. Henri Gilbert) обнаружил уязвимость и этого шифра перед атакой на основе подобранного открытого текстаШаблон:Sfn. Далее в 1992 году Мицуру Мацуи и Ацухиро Ямагиси (Mitsuru Matsui and Atsuhiro Yamagishi) описали атаку на основе открытых текстов, требующую <math>2^{15}</math> известных шифротекстовШаблон:Sfn.

В связи с большим числом успешных атак, разработчиками было принято решение еще усложнить шифр. А именно, в 1990 году был представлен FEAL-N, где N — произвольное четное число раундов шифрования, и представлен FEAL-NX, где X (от англ. extended) обозначает использование расширенного до 128 бит ключа шифрования. Однако данное нововведение помогло лишь частично. В 1991 году Эли Бихам и Ади Шамир, используя методы дифференциального криптоанализа, показали возможность взлома шифра с числом раундов <math>N \leq 31</math> быстрее, чем полным переборомШаблон:Sfn.

Тем не менее, благодаря интенсивности исследования алгоритма шифрования сообществом, были доказаны границы уязвимости шифра перед линейным и дифференциальным криптоанализом. Устойчивость алгоритма с числом раундов большим 26 к линейному криптоанализу показали в своей работе Сихо Мораи, Кадзумаро Аоки и Кадзуо Ота[1], а в работе Казумаро Аоки, Кунио Кобаяси и Шихо Мораи была доказана невозможность применить дифференциальный криптоанализ к алгоритму, использующему больше 32 раундов шифрованияШаблон:Sfn.

Описание

В качестве входа процесса шифрования в алгоритме FEAL-NX используется 64-битовый блок открытого текстаШаблон:Sfn[2]. Процесс шифрования разбит на 3 стадии.

  1. Предобработка
  2. Итеративное вычисление
  3. Постобработка

Кроме того, описан процесс генерации раундовых ключей, с которого и начинается шифрование, а также функции <math>S_0, \; S_1,\; F, \; F_k</math>, с помощью которых и производятся преобразования.

Определим (A,B) — операцию конкатенации двух последовательностей бит.

Определим <math>\phi</math> — нулевой блок длины 32 бита.

Функция S

<math>S_0(a,b)</math> = циклический сдвиг влево на 2 бита <math>((a+b)\mod{256})</math>

<math>S_1(a,b)</math> = циклический сдвиг влево на 2 бита <math>((a+b+1)\mod{256})</math>

Функция F

Файл:FEAL InfoBox Diagram.png
Схема функции F

Функция F берёт 32 бита данных и 16 битов ключа и смешивает их вместе.

  1. <math>F=F(\alpha, \beta)=(F_0, F_1, F_2, F_3)</math>
  2. <math>\alpha=(\alpha_0, \alpha_1, \alpha_2, \alpha_3); \; \beta=(\beta_0,\beta_1)</math>
  3. <math>F_1=\alpha_1 \oplus \beta_0</math>
  4. <math>F_2=\alpha_2 \oplus \beta_1</math>
  5. <math>F_1=F_1 \oplus \alpha_0</math>
  6. <math>F_2=F_2 \oplus \alpha_3</math>
  7. <math>F_1=S_1(F_1, F_2)</math>
  8. <math>F_2=S_0(F_2, F_1)</math>
  9. <math>F_0=S_0(\alpha_0, F_1)</math>
  10. <math>F_3=S_1(\alpha_3, F_2)</math>

Функция <math>F_k</math>

Файл:F k.png
Схема функции <math>F_k</math>

Функция <math>F_k</math> работает с двумя 32 битовыми словами.

  1. <math>F_k=F_k(\alpha, \beta)=(F_{k_0}, F_{k_1}, F_{k_2}, F_{k_3})</math>
  2. <math>\alpha=(\alpha_0, \alpha_1, \alpha_2, \alpha_3); \; \beta=(\beta_0,\beta_1,\beta_2,\beta_3)</math>
  3. <math>F_{k_1}=\alpha_1 \oplus \alpha_0</math>
  4. <math>F_{k_2}=\alpha_2 \oplus \alpha_3</math>
  5. <math>F_{k_1}=S_1(F_{k_1}, (F_{k_2} \oplus \beta_0))</math>
  6. <math>F_{k_2}=S_0(F_{k_2}, (F_{k_1} \oplus \beta_1))</math>
  7. <math>F_{k_0}=S_0(\alpha_0, (F_{k_1} \oplus \beta_2))</math>
  8. <math>F_{k_3}=S_1(\alpha_3, (F_{k_2} \oplus \beta_3))</math>

Генерация раундовых ключей

Файл:KeysSharingFEAL.png
Схема генерации раундовых ключей

В результате генерации раундовых ключей, из полученного на вход ключа длиной 128 бит получается набор из N+8 раундовых ключей <math>K_i</math>, длиной 16 бит каждый. Данный результат получается в результате следующего алгоритма.

  1. Разделение входного ключа на левый и правый ключ: <math>K=(K_L,K_R)</math>, они имеют длину 64 бита.
  2. Обработка ключа <math>K_R=(K_{R1}, K_{R2})</math>
  3. Введение временной переменной <math>Q_r</math> для <math>1 \leq r \leq \frac{N}{2}+4</math>:
    • <math>Q_r = K_{R1} \oplus K_{R2},\;r=3i-2,\; i \in \mathbb{N}</math>
    • <math>Q_r = K_{R1},\;r=3i-1,\; i \in \mathbb{N}</math>
    • <math>Q_r = K_{R2},\;r=3i,\; i \in \mathbb{N}</math>
  4. Обработка ключа <math>K_L=(A_0,B_0)</math>
  5. Введение временной переменной <math>D_0 = \phi</math>
  6. Последовательное вычисление <math>K_i</math>
    1. <math>D_r = A_{r-1}</math>
    2. <math>A_r = B_{r-1}</math>
    3. <math>B_r = F_k(A_{r-1}, (B_{r-q} \oplus D_{r-1}) \oplus Q_{r}))=(B_{r_0},B_{r_1},B_{r_2},B_{r_3})</math>
    4. <math>K_{2(r-1)} = (B_{r_0}, B_{r_1})</math>
    5. <math>K_{2(r-1)+1} = (B_{r_2}, B_{r_3})</math>

Предобработка

На начальной стадии блок данных <math>P</math> готовится к итеративной процедуре шифрования.

  1. <math>P=(L_0, R_0)</math>
  2. <math>(L_0, R_0) = (L_{0},R_{0}) \oplus (K_N, K_{N+1}, K_{N+2},K_{N+3})</math>
  3. <math>(L_0, R_0) = (L_{0},R_{0}) \oplus (\phi, L_0)</math>

Итеративная обработка

На этой стадии с блоком данных производится N раундов перемешивания битов по следующему алгоритму.

  1. <math>R_r=L_{r-1} \oplus F(R_{r-1}, K_{r-1})</math>
  2. <math>L_r = R_{r-1}</math>

Постобработка

Задача этой стадии — подготовить почти готовый шифротекст к выдаче.

  1. <math>P=(R_N, L_N)</math>
  2. <math>P=P \oplus (\phi, R_N)</math>
  3. <math>P=P \oplus (K_{N+4}, K_{N+5}, K_{N+6}, K_{N+7})</math>

Тот же алгоритм может быть использован для дешифрования. Единственным отличием является то, что при дешифровании порядок использования частей ключа меняется на обратный.

Применение

Хотя изначально алгоритм FEAL задумывался, как более быстродействующая замена DES, в том числе, для применения шифрования в смарт-картах, количество быстро найденных в нем уязвимостей поставило точку на перспективах использования данного алгоритма. К примеру, в работе Эли Бихама и Ади Шамира, опубликованной в 1991 году, доказана достаточность 8 выбранных открытых текстов для взлома шифра FEAL-4, 2000 — для взлома FEAL-8, <math>2^{28}</math> — для FEAL-16Шаблон:Sfn. Все эти числа значительно меньше необходимого числа выбранных открытых текстов для атаки на DES, а тот факт, что FEAL-32 достаточно надежен, достаточно бесполезен, так как DES добивается сравнимой надежности при значительно меньшем числе раундов, тем самым лишая FEAL преимущества, изначально задумывавшегося создателями.

На данный момент на официальном сайте авторов шифра — компании NTT, в описании шифра FEAL вывешено предупреждение, о том что компания NTT рекомендует не использовать шифр FEAL, а использовать шифр Camelia, также разработанный этой компанией ради надежности и скорости шифрования[3].

Вклад в развитие криптографии

Благодаря тому, что шифр FEAL был разработан достаточно рано, он послужил отличным объектом для тренировок для криптологов всего мира[4].

Кроме того, на его примере был открыт линейный криптоанализ. Шаблон:Iw, изобретатель линейного криптоанализа, в первой своей работе на эту тему рассматривал как раз FEAL и DES.

Примечания

Шаблон:Примечания

Литература

Шаблон:^ Шаблон:Симметричные криптоалгоритмы

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. Шаблон:Статья
  2. Шаблон:Cite web
  3. Шаблон:Cite web
  4. Шаблон:Книга
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:FEAL&oldid=8647927