СОВРЕМЕННЫЕ СИММЕТРИЧНЫЕ КРИПТОСИСТЕМЫ





 

По мнению К. Шеннона [83J, в практических шифрах необ­ходимо использовать два общих принципа: рассеивание и пере­мешивание.

Рассеивание представляет собой распространение влия­ния одного знака открытого текста на много знаков шифртекста, что позволяет скрыть статистические свойства открытого текста.

Перемешивание предполагает использование таких шиф­рующих преобразований, которые усложняют восстановление взаимосвязи статистических свойств открытого и шифрованного текстов. Однако шифр должен не только затруднять раскрытие, но и обеспечивать легкость зашифрования и расшифрования при из­вестном пользователю секретном ключе.

Распространенным способом достижения эффектов рас­сеивания и перемешивания является использование составного шифра, т.е. такого шифра, который может быть реализован в виде некоторой последовательности простых шифров, каждый, из кото­рых вносит свой вклад в значительное суммарное рассеивание и перемешивание.

В составных шифрах в качестве простых шифров чаще всего используются простые перестановки и подстановки. При пе­рестановке просто перемешивают символы открытого текста, причем конкретный вид перемешивания определяется секретным ключом. При подстановке каждый символ открытого текста заме­няют другим символом из того же алфавита, а конкретный вид подстановки также определяется секретным ключом. Следует за­метить, что в современном блочном шифре блоки открытого тек­ста и шифртекста представляют собой двоичные последователь­ности обычно длиной 64 бита. В принципе каждый блок может принимать 264 значений. Поэтому подстановки выполняются в очень большом алфавите, содержащем до 264 » 1019 "символов".

При многократном чередовании простых перестановок и подстановок, управляемых достаточно длинным секретным клю­чом, можно получить очень стойкий шифр с хорошим рассеивани­ем и перемешиванием. Рассмотренные ниже криптоалгоритмы DES, IDEA и отечественный стандарт шифрования данных по­строены в полном соответствии с указанной методологией.

 

1. Американский стандарт шифрования данных DES

Стандарт шифрования данных DES (Data Encryption Standard) опубликован в 1977 г. Национальным бюро стандартов США.

Стандарт DES предназначен для защиты от несанкциони­рованного доступа к важной, но несекретной информации в госу­дарственных и коммерческих организациях США. Алгоритм, поло­женный в основу стандарта, распространялся достаточно быстро, и уже в 1980 г. был одобрен Национальным институтом стандар­тов и технологий США (НИСТ). С этого момента DES превращает­ся в стандарт не только по названию (Data Encryption- Standard), но и фактически. Появляются программное обеспечение и специали­зированные микроЭВМ, предназначенные для шифрования и рас­шифрования информации в сетях передачи данных.

К настоящему времени DES является наиболее распро­страненным алгоритмом, используемым в системах защиты ком­мерческой информации. Более того, реализация алгоритма DES в таких системах становится признаком хорошего тона.

Основные достоинства алгоритма DES:

• используется только один ключ длиной 56 бит;

• зашифровав сообщение с помощью одного пакета программ, для расшифровки можно использовать любой другой пакет про­грамм, соответствующий стандарту DES;

• относительная простота алгоритма обеспечивает высокую ско­рость обработки;

• достаточно высокая стойкость алгоритма.

Первоначально метод, лежащий в основе стандарта DES, был разработан фирмой IBM для своих целей и реализован в виде системы "Люцифер". Система "Люцифер" основана на комбиниро­вании методов подстановки и перестановки и состоит из чередую­щейся последовательности блоков перестановки и подстановки. В ней использовался ключ длиной 128 бит, управлявший состояния­ми блоков перестановки и подстановки. Систем Люцифер" ока­залась весьма сложной для практической реализации из-за отно83сительно малой скорости шифрования (2190 байт/с- программная реализация, 96970 байт/с - аппаратная реализация).

Алгоритм DES также использует комбинацию подстановок и перестановок. DES осуществляет шифрование 64-битовых бло­ков данных с помощью 64-битового ключа, в котором значащими являются 56 бит (остальные 8 бит - проверочные биты для кон­троля на четность). Дешифрование в DES является операцией, обратной шифрованию, и выполняется путем повторения опера­ций шифрования в обратной последовательности. Обобщенная схема процесса шифрования в алгоритме DES показана на рисунке 1. Процесс шифрования заключается в начальной переста­новке битов 64-битового блока, шестнадцати циклах шифрования и, наконец, в конечной перестановке битов.

 

Рисунок 3.1 - Обобщенная схема шифрования в алгоритме DES

 

Следует сразу отметить, что все приводимые таблицы яв­ляются стандартными и должны включаться в реализацию алго­ритма DES в неизменном виде.

Все перестановки и коды в таблицах подобраны разработ­чиками таким образом, чтобы максимально затруднить процесс расшифровки путем подбора ключа. При описании алгоритма DES (рисунке 2) применены следующие обозначения:

L и R - последовательности битов (левая (left) и пра­вая (right));

 

Рисунок 2 - Структура алгоритма DES

 

LR - конкатенация последовательностей L и R, т.е. такая последовательность битов, длина которой равна сумме длин L и R; в последовательности LR биты последовательности R следуют за битами последовательности L;

Ф - операция побитового сложения по модулю 2.

Пусть из файла исходного текста считан очередной 64-битовый (8-байтовый) блок Т. Этот блок Т преобразуется с помо­щью матрицы начальной перестановки IP (таблица 1).

Таблица 1 - Матрица начальной перестановки IP

 

Биты входного блока Т (64 бита) переставляются в соот­ветствии с матрицей IP: бит 58 входного блока Т становится битом 1, бит 50 - битом 2 и т.д. Эту перестановку можно описать выра­жением То = IP(T). Полученная последо-вательность битов То разделяется на две последовательности: Lo - левые или старшие биты, Ro-правые или младшие биты, каждая из которых содер­жит 32 бита.

Затем выполняется итеративный процесс шифрования, состоящий из 16 шагов (циклов). Пусть Т, - результат i-й итерации:

Тi = Li Ri,

где Li = t1 t2 ... t32 (первые 32 бита); Ri = t33 t34... t64 (последние 32 бита). Тогда результат i-й итерации описывается следующими формулами:

Li = R i -1, i = 1,2.....16;

 

Ri =Li-1 Å f (Ri-1, Ki ), i = 1,2.....16.

 

Функция f называется функцией шифрования. Ее аргумен­тами являются последовательность Ri-1, получаемая на предыду­щем шаге итерации, и 48-битовый ключ Кi, который является ре­зультатом преобразования 64-битового ключа шифра К. (Подроб­нее функция шифрования f и алгоритм получения ключа Кi, описаны ниже.)

На последнем шаге итерации получают последовательно­сти R16 и L16 (без перестановки местами), которые конкатенируются в 64-битовую последовательность R16L16.

По окончании шифрования осуществляется восстановле­ние позиций битов с помощью матрицы обратной перестановки IP-1 (таблица 2).

Таблица 2 Матрица обратной перестановки IP-1

62/

 

Пример того, как соотносятся элементы первой строки матрицы IP-1 с элементами матрицы IP приведен в таблице 3.

Таблица 3 - Связь элементов матриц

Элемент матрицы IP-1 Элемекг матрицы IP

 

Процесс расшифрования данных является инверсным по отношению к процессу шифрования. Все действия должны быть выполнены в обратном порядке. Это означает, что расшифровы­ваемые данные сначала переставляются в соответствии с матри­цей IP"1, а затем над последовательностью битов R16Li6 выпол­няются те же действия, что и в процессе шифрования, но в обрат­ном порядке.

Итеративный процесс расшифрования может быть описан следующими формулами:

 

R i -1 = Li, i = 1,2.....16;

 

Li-1 Ri = Ri Å f (Ri-1, Ki ), i = 1,2.....16.

 

Таким образом, для процесса расшифрования с перестав­ленным входным блоком R16L16 на первой итерации используется ключ К16, на второй итерации - К15 и т.д. На 16-й итерации ис­пользуется ключ K1. На последнем шаге итерации будут получены последовательности Lo и Ro, которые конкатенируются в 64-битовую последовательность LoRo. Затем в этой последователь­ности 64 бита переставляются в соответствии с матрицей IP. Peзультат такого преобразования - исходная последовательность битов (расшифрованное 64-битовое значение).

Теперь рассмотрим, что скрывается под преобразованием, обозначенным буквой f. Схема вычисления функции шифрования f (Ri-1, Ki ) показана на рисунке 3.

 

Рисунок 3 - Схема вычисления функции шифрования f

 

Для вычисления значения функции f используются:

• функция Е (расширение 32 бит до 48);

• функция Sl , S2, ..., S8 (преобразование 6-битового числа в 4-битовое);

• функция Р (перестановка битов в 32-битовой последователь­ности).

Приведем определения этих функций.

Аргументами функции шифрования f являются Ri-1 (32 би­та) и Кi, (48 бит). Результат функции Е(Ri-1) есть 48-битовое чис­ло. Функция расширения Е, выполняющая расширение 32 бит до 48 (принимает блок из 32 бит и порождает блок из 48 бит), опре­деляется таблицей 4.

В соответствии с таблицей 4 первые три бита Е(Ri-1) - это биты 32, 1 и 2, а последние - 31, 32, 1. Полученный результат (обозначим его Е(Ri-1)) складывается по модулю 2 (операция XOR)

 

 

Таблица 4 - Функция расширения Е

'1

 

с текущим значением ключа Кi и затем разбивается на восемь 6-битовых блоков В1, В2,.....,В8:

Е (Кi-1 ) Å Кi = В1, В2,.....,В8.

Далее каждый из этих блоков используется как номер эле­мента в функциях-матрицах S1, S2, ..., S8, содержащих 4-битовые значения (таблица 5).

Следует отметить, что выбор элемента в матрице Sj осу­ществляется достаточно оригинальным образом. Пусть на вход матрицы Sj поступает 6-битовый блок Вj, = b1 b2 b3 b4 b5 b6, тогда двухбитовое число b1 b6 указывает номер строки матрицы, а че­тырехбитовое число b2 b3 b4 b5 - номер столбца. Например, если на вход матрицы S1 поступает 6-битовый блок b1 b2 b3 b4 b5 b6 = 100110, то 2-битовое число b1 b6 = 10(2) = 2(10) указывает строку с номером 2 матрицы S1 а 4-битовое число b2 b3 b4 b5=0011(2)=3(1О) указывает столбец с номером 3 матрицы S1. Это означает, что в матрице S1 блок В1 = 100110 выбирает элемент на пересечении строки с номером 2 и столбца с номером 3, т.е. элемент 8(10) = =1000(2). Совокупность 6-битовых блоков B1, B 2, …,B 8 обеспечивает выбор четы-рехбитового элемента в каждой из матриц S1, S 2, …, S 8.

В результате получаем S1(B1), S 2(B2), …, S 8(B8), т.е. 32-битовый блок (поскольку матрицы Sj, содержат 4-битовые элемен­ты). Этот 32-битовый блок преобразуется с помощью функции пе­рестановки битов Р (таблица 6).

Таким образом, функция шифрования

Ri Å f (Ri-1, Ki )=Р(S1(B1), S 2(B2), …, S 8(B8))

Как нетрудно заметить, на каждой итерации используется новое значение ключа Кj (длиной 48 бит). Новое значение ключа Кj вычисляется из начального ключа К (рисунок 4). Ключ К представ­ляет собой 64-битовый блок с 8 битами контроля по четности, рас­положенными в позициях 8, 16, 24, 32, 40, 48, 56, 64. Для удаления контрольных битов и подготовки ключа к работе используется функция G первоначальной подготовки ключа (таблица 7).

 

 

Таблица 5

 

 

 

Рисунок 4 - Схема алгоритма вычисления ключей Кj

 

Таблица 7 разделена на две части. Результат преобразова­ния G(K) разбивается на две половины Со и Do по 28 бит каждая. Первые четыре строки матрицы G определяют, как выбирают-

Таблица 3.6 Таблица 3.7

ся биты последовательности Со (первым битом Со будет бит 57 ключа шифра, затем бит 49 и т д., а последними битами - биты 44 и 36 ключа).

 

Следующие четыре строки матрицы G определяют, как выбираются биты последовательности Do (т.е. последователь­ность Do будет состоять из битов 63, 55, 47, ...,12, 4 ключа шифра).

Как видно из таблицы 7, для генерации последовательно­стей Со и Do не используются биты 8, 16, 24, 32, 40, 48, 56 и 64 ключа шифра. Эти биты не влияют на шифрование и могут слу­жить для других целей (например, для контроля по четности). Та­ким образом, в действительности ключ шифра является 56-битовым.

После определения Со и Do рекурсивно определяются Сi и Di, i = 1, 2, ..., 16. Для этого применяются операции циклического сдвига влево на один или два бита в зависимости от номера шага итерации, как показано в таблице 8.

Операции сдвига выполняются для последовательностей Сi и Di независимо. Например, последовательность С3 получается посредством циклического сдвига влево на две позиции последо­вательности С2, а последовательность D3 - посредством сдвига влево на две позиции последовательности D2, C16 и D16 получают­ся из С15 и D15 посредством сдвига влево на одну позицию.

Таблица 3 8 - Количество сдвигов si для вычисления ключа

Номер итерации Количество si сдвигов влево бит Номер итерации Количество si сдвигов влево бит

Ключ Кi, определяемый на каждом шаге итерации, есть результат выбора конкретных битов из 56-битовой последователь­ности Сi Di и их перестановки. Другими словами, ключ Кi=Н(Сi Di), где функция Н определяется матрицей, завершающей обработку .ключа (таблица 9).

Таблица 9 - Функция Н завершающей обработки ключа

(переставленная выборка 2)

 

Как следует из таблицы 9, первым битом ключа Кi будет 14-й бит последовательности Сi Di, вторым - 17-й бит, 47-м битом клю­ча Кi будет 29-й бит Сi Di, а 48-м битом - 32-й бит Сi Di.

 





Читайте также:
Методы лингвистического анализа: Как всякая наука, лингвистика имеет свои методы...
Методы исследования в анатомии и физиологии: Гиппократ около 460- около 370гг. до н.э. ученый изучал...
Пример оформления методической разработки: Методическая разработка - разновидность учебно-методического издания в помощь...
Основные признаки растений: В современном мире насчитывают более 550 тыс. видов растений. Они составляют около...

Рекомендуемые страницы:



Вам нужно быстро и легко написать вашу работу? Тогда вам сюда...

Поиск по сайту

©2015-2021 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-02-16 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту:

Мы поможем в написании ваших работ! Мы поможем в написании ваших работ! Мы поможем в написании ваших работ!
Обратная связь
0.052 с.