Upload
garasym
View
420
Download
0
Embed Size (px)
Citation preview
Сучасний стан алгоритмів блочного симетричного
шифрування
Підготовив : Лопіт І.І.
Анотація В даній роботі порушені проблеми сучасного стану алгоритмів
блочного симетричного шифрування їх безпечність стійкість, надана порівняльна характеристика кожного з них і криптографічний аналіз.
Робота можна поділити на наступні частини. Вимоги до алгоритмів БСШ. В цій частині описані основні вимоги, які були поставлені до шифрів на початку 2000-их років. Також наведена таблиця порівняння основних характеристик. Шляхи розвитку. В цьому розділі представлені основні загрози за останні 10 років які суттєво впливають на розвиток блочних шифрів. Висновок в якому вказані гіпотези щодо подальшого розвитку алгоритмів і вирішенню поточних проблем.
ВступОсновне ядро сучасних алгоритмів симетричного
блочного шифрування (СБШ) було сформовано на початку нового тисячоліття. Саме в цей час був проведений конкурс AES (Advanced Encryption Standard, Вдосконалений стандарт шифрування) від NIST (англ. The National Institute of Standardsand Technology – Національний Інститут стандартів та технологій ) 1998-2001, започатковані відповідні аналоги в Європі – проект NESSIE (англ. New European Schemes for Signatures, Integrity, andEncryptions, Нові європейські алгоритми для електронного підпису, цілісності та шифрування) 2000-2003, японський проект – CRYPTEC (англ.Cryptography Research and EvaluationCommittees – Комітет криптографічних досліджень та оцінки ) з 2000 року. За результатами цих конкурсів були відібрані алгоритми які стали де факто світовими стандартами.
Вимоги до алгоритмівНа основі умов представлених до алгоритмів
проектами, можна вивести узагальнені вимоги до БСШ на початку 2000 років.
Юридичні:- алгоритм не повинен бути засекреченим, а відкритим для аналізу та побудови та використання;- повинен поширюватись по всьому світі на не ексклюзивних умовах і без плати за користування патентом;- повинен відповідати потребам промисловості та уряду, і мати можливість міжнародного використовування
Стійкість:- алгоритм повинен бути стійкий до всіх відомих на теперішній час атак і протистояти майбутнім;- не піддаватись крипто логічному розкриттю;- мати міцний математичний фундамент;- результати шифрування повинні бути статистично рівно ймовірними- захист від повного перебору не менше ніж 10 років.
Швидкодія:- обчислювальна ефективність (швидкодія) на різних платформах- Низькі потреби до пам’яті
Гнучкість:- можливість ефективної реалізації на 8,32,64 бітних платформах- ефективна програмна та апаратна реалізація- можливість реалізації алгоритму в якості поточного шифру, алгоритму хешування, ГПВЧ та ін..- ефективна робота алгоритму з різними довжинами ключів і блоків тексту.
Структурно габаритні вимоги:- розмір блоку 64,128,256- розмір ключа 128,192,256
Обрані алгоритмиФіналісти конкурсу американського конкурсу AES від
NIST :
• AES (Rindel) – Вінсент Реймен, Йоан Даймен, 1998 рік;
• MARS – корпорація ІВМ, 1998 рік;
• RC6 – Рональд Райвест, М. Робшоу, Р. Сідні, 1998 рік;
• Serpent – Росс Андерсон, Елі Біхам, Ларс Кнудсен, 1998 рік;
• Twofish – група спеціалістів під керівництвом Брюса Шнайера, 1998 рік
СБШ рекомендовані японським проектом CRYPTEC:
• AES
• Camellia – Mitsubishi, NTT, 2000 рік;
• CIPHERUNICORN-A – NEC, 2000 рік;
• Hierocrypt-L1 – Toshiba, 2000 рік;
• Hierocrypt-3 – Toshiba, 2000 рік;
• SC2000 – Fujitsu, 2000 рік;
• Triple DES
Алгоритми запропоновані NESSIE
• MISTY1 – Matsui Mitsuru, Ichikawa Tetsuya та ін. 1995 рік;
• AES
• Camellia
• SHACAL-2 – Helena Handschuh, David Naccache, 2000 рік;
Алгоритм СБШ Розмір
Блоку ,біт
Розмір
ключа,біт
Кількість
раундів
Набір операцій Схема
Побудови
Алгоритму
AES (Rindel) 128 128,192,256 10,12,14 S, P, Br, операції в полі Галуа SP-мережа
Camelia 128 128,192,256 18,24 S, P, XOR, Br, Bs, AND, OR, NOT Мережа
Фейстеля
CIPHERUNICORN-A 128 128, 192, 256 16 S, MULT, MOD, XOR, Br, AND Мережа
Фейстеля
Hierocrypt-L1 64 128 6.5 S, XOR SP-мережа
Hierocrypt-3 128 128, 192,256 6.5, 7.5, 8.5 S, XOR SP-мережа
Idea NXT 64-128 0-256 2-255 S, P, XOR, MULT, OR Лай-Месселя
MARS 128 128 - 448 32 S, P, ADD, SUB, XOR, Br,
Mult mod232
Мережа
Фейстеля
MISTY1 64 128 4xn S, XOR, AND, OR SP - мережа
PRESENT 64 80,128 31 S, P ,ADD, XOR, BR SP - мережа
RC6 змінний Змінний змінна XOR, Br ,ADD SUB MULT mod232 Модифікована
мережа
Фейстеля
Serpent 128 128,192,256 32 Br,XOR,Bs SP - мережа
SC2000 128 128,192,256 6.5,7.5 XOR, AND, OR, SUB, ADD, MUL інша
SHACAL-2 256 128-512 80 XOR, OR, AND, Br, ADD інша
Twofish 128 128,192,256 16 Br, XOR, S, ADD mod232 Мережа
Фейстеля
Шляхи розвитку Як і будь яка галузь науки криптологія не стоїть на місці.
За ці десть років багато чого змінилось в сучасному стані. Створюються нові алгоритми, досліджуються старі. Можна прослідити два основні шляхи розвитку :
Екстенсивний – нарощування розміру блоку, ключа.
Інтенсивний – удосконалення блоків підстановки, дифузії, знаходження нових крипто примітивів і удосконалення наявних, пошук нових засобів протидії крипто аналізу і нових методів аналізу.
ЕкстенсивнийЕкстенсивний метод здебільшого захищає від атаки
повного перебору , а нарощування кількості раундів захищає від інших типів атак. Для того щоб зрозуміти чи доцільне нарощування розміру ключа, прослідкуємо основні загрози. Згідно закону Мура кожні 18 місяців відбувається подвоєння кількості транзисторів на обчислювальній техніці, відповідно можна припустити що за цей період, швидкодія виросте в 2 рази також. Хоча десять років назад компанія Intel і прогнозувала процесори 10 Ггц до 2011 року, реальність виявилась зовсім іншою. Хто б міг подумати, що головна обчислювальна потужність буде не в CPU а у графічних процесорів. Для наглядності нижче графік приросту операції з плаваючою комою за останні 10 років
CPU vs GPU
Частота процесорів Intel
Використання Botnet мережІншою проблемою для сучасної криптології може
постати створення злочинних обчислювальних мереж на основі ботнет мереж. В своїй книзі «Прикладна криптологія» Брюс Шнаєр висунув гіпотезу, про створення розподілених обчислювальних мереж на основі вірусів, основною проблемою того в той час було узгодження результату.
І тут на допомогу приходять ботнет мережі. За оцінкою творця протоколу ТСР/ІР Вінта Серфа близько 25% з 600 млн. комп’ютерів підключених до Інтернету можуть знаходитись в ботнетах. За офіційними даними їх чисельність може становити до 30 млн. машин (BredoLab - 30 млн. , Mariposa - 12 млн. , Сonficker – 10 млн.). На даний час основним заняттям ботнетівє спам і DDos атаки. Але якщо поєднати їх велику кількість машин і потужності сучасних графічних процесорів для здійснення розподіленої атаки то можна добитись досить цікавих результатів. Як відомо комп’ютер простоює в 70-90% часу від загальної роботи. Основне навантаження при роботі сучасного комп’ютера лягає на центральний процесор. Жертва навіть не запідозрить те що вона є учасником злочинної мережі.
Як було вже сказано, основним завдання інтенсивного шляху є створення та дослідження нових досконаліших алгоритмів БСШ, алгоритмів аналізу і протидії крипто -графічному розкриттю. В науковій криптографії шифр рахується зламаним, якщо в системі знайдено слабке місце, яке може бути використано для ефективнішого злому, ніж методом повного перебору ключів. Припустимо, для розшифрування методом повного перебору потрібно використати 2128 операцій, тоді якщо буде знайдений спосіб який дозволить скоротити цю кількість до 2100 операцій, то шифр зламаний. Дані методи можуть потребувати великої кількості підібраного відкритого тексту або пам’яті. Під успішним взломом розуміють лише підтвердження про наявність вразливостей в алгоритмі, які свідчать про те, що він не відповідає заявленій характеристиці.
Зазвичай аналіз алгоритму починається з атаки на редуковану версію. Вона може мати зменшену кількість раундів, відсутність деяких функцій і.т.д.. Спроба крипто аналізу називається атакою.
Алгоритм СБШ Розмір ключа К-сть раундів Тип атаки Потреби Час
AES (Rindel) 128
192
256
повна
повна
повна
Biclique
Biclique
Biclique
28
28
28
2126.18
2189.74
2254.42
Camellia 128
192
256
9
10
11
Square
Impossible differential
High-order differential
248
2121
293
2122
2175.3
2255.6
CIPHERUNICORN-A * * * * *
CIPHERUNICORN-E * * * * *
Hierocrypt-3 192,256 3.5 Square-like 22x232CP , 2168 SG, 2183 SL 2176
Hierocrypt-L1 128 3.5 Square-like 14x232CP , 2104 SG, 2118 SL 2111
MARS 256 12c Differential CP 265 data 269 2252
MISTY1 128 7 Differential data 254.1 2120.8
RC6
RC6
RC6
128
192
256
12
16
18
x2
x2
Multiple Linear
CP 2109.21 data 252
CP 2127.2
CP 2127.423
2126.52
2181.2
2193.42
Serpent 128,192,256
256
256
11
12
12
linear
linear
linear
CP 2116 data 2104
CP 2118 data 2228
CP 2116 data 2121
2107.5
2228.8
2237.5
SC2000 128 5 Differential CP 2125.68 2125.75
SHACAL-2 512 44 Related-key rectangle 2233 RK-CP 2238 Mem 2497.2
Twofish
Twofish W
Twofish W
Twofish W
256
128
192
256
6
6
6
6
Impossible differential
Impossible differential
Impossible differential
Impossible differential
2256
2128
2160
2192
ВисновокОсновною загрозою на даний момент є утворення
злочинних обчислювальних мереж на основі технології Botnet I CUDA.Отже на протязі 5-10 років доцільним буде використання розміру ключа від 192 біт.
Аналіз основних публічних матеріалів по криптоаналізупоказав,що сьогоднішні алгоритми мають високу стійкість і оправдовують покладену на них довіру.
Потреба в новому конкурсу на зразок AES на наступні 10-15 років відпадає.