Основные тенденции развития открытой криптографии
         

Другие новости защиты информации:


Новость из раздела защита информации:
       Ю. Бобылов. Рост Внешних угроз России и развитие идеологии засекречивания российской науки
Новость из раздела защита информации:
       М. Филиппов. Вопросы обеспечения безопасности корпоративных беспроводных сетей стандарта 802.11. Cпецифика России.
Новость из раздела защита информации:
       В поисках иммунитета от "суперчервей".
Новость из раздела защита информации:
       В. Пономарев. Государство и революция в сфере информационной безопасности.
Новость из раздела защита информации:
       К. Касперски. Укрощение червей, или синдром врожденного иммунодефицита.

Источник новостей http://sec.ru/

© 2003-2006 ООО "Физтех-софт".
Все права защищены.

Основные тенденции развития открытой криптографии


   Создание интернет-магазинов
порталы на Sharepoint
Тел./факс: (495) 576-55-18, 576-32-66
E-mail: sales@StrongDisk.ru, support@StrongDisk.ru
sid=5885; rf=escape(document.referrer); rn=Math.random(); ct=""; ct+="
"; ct+=""; document.write(ct);



ОСНОВНЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ ОТКРЫТОЙ КРИПТОГРАФИИ
Настоящий обзор написан группой специалистов по заказу редакции cryptography.ru и представляет собой ретроспективный взгляд на развитие открытой криптографии за последние несколько лет. Авторы не стремились дать исчерпывающе полный обзор результатов и методов открытой криптографии, поэтому в нем отсутствуют формулировки точных математических результатов. Основная цель состояла в том, чтобы попытаться обрисовать место криптографии в современной науке и технике, проанализировать основные движущие мотивы и внутреннюю логику развития открытой криптографии. Сделанные в обзоре акценты на отдельные направления криптографических исследований отражают субъективные интересы авторов и не являются следствием существующего соотношения по числу публикаций между различными направлениями.

Современный этап развития открытой криптографии насчитывает уже более четверти века. До середины 70-х годов XX века в научно-технической литературе работ, посвященных криптографическим методам защиты информации, было крайне мало (пример такой работы см. [G39]; классическим обзором по истории криптографии считается книга Д.Кана, [Кан, Kahn67]). Научные основы криптографии были заложены в конце 40-х годов XX века трудами Клода Шеннона, [Ш48, Sh49]. Новейшую историю открытой криптографии принято отсчитывать с 1976 года, когда Уитвелд Диффи и Мартин Хеллман выступили на национальной компьютерной конференции со своей работой "Новые направления в криптографии". В том же году эта работа была опубликована в журнальном варианте [DH76]. К числу отцов-основателей открытой криптографии относят также и Ральфа Меркля, который независимо от У.Диффи и М.Хеллмана пришел к тем же конструкциям, однако он опубликовал свои результаты только в 1978 году [Mer78]. В конце XX века приоритет открытия У.Диффи и Д.Хеллмана пытались независимо оспорить спецслужбы США и Великобритании. В статье энциклопедии "Британника" бывший директор Агентства национальной безопасности США Симмонс заявляет, что "двухключевая криптография была известна в АНБ за 10 лет до публикации У.Диффи и М.Хеллмана". На официальном сайте правительственной штаб-квартиры по связи Великобритании также была размещена информация, оспаривающая приоритет Диффи и Хеллмана, со ссылками на засекреченные до недавнего времени работы сотрудников английской спецслужбы.

Математическая (теоретико-сложностная) криптография

Пионерская работа У.Диффи и М.Хеллмана во многом определила предмет открытой криптографии. Если в трудах К.Шеннона был развит (и фактически полностью исчерпан) теоретико-информационный подход к оценке стойкости криптографических систем, то работа У.Диффи и М.Хеллмана дала толчок для развития теоретико-сложностному подходу в криптографии. Неформально говоря, при теоретико-информационном подходе к обоснованию стойкости криптосистемы требуется показать, что противник не имеет даже теоретической возможности для получения защищаемой информации.

При теоретико-сложностном подходе криптосистема считается стойкой, если любой алгоритм, который может использовать противник, требует выполнения недопустимо большого объема вычислений, либо срабатывает с пренебрежимо малой вероятностью. При таком подходе возникает ряд принципиальных вопросов, требующих математически строгой формализации.

Во-первых, математическая теория сложности имеет дело с массовыми задачами, т.е. рассматривает потенциально бесконечное семейство однотипных задач, параметризованных некоторой величиной, стремящейся к бесконечности. Любая же криптографическая система -- это объект, параметры которого являются фиксированными (или лежат в некотором заданном интервале). Поэтому, прежде всего, встает проблема построения адекватной математической модели для криптографической системы.

Во-вторых, поскольку современная криптография предлагает большой набор механизмов обеспечения информационной безопасности (от "классического" шифрования до алгоритмов хэширования, схем аутентификации, цифровой подписи и других криптографических протоколов), то требуется сформулировать, какую именно задачу будет решать противник и какой информацией он при этом располагает.

И, в-третьих, следует сформулировать, что считать недопустимо большим объемом вычислений и пренебрежимо малой вероятностью. При этом важно уточнить модель вычислений, в которой работает противник. Здесь хочется отметить новое интересное направление исследований, связанное с привлечением модели квантовых вычислений.

При наличии указанных определений, задача обоснования стойкости криптографической системы сводится к получению нижних оценок сложности для конкретных задач. Основная проблема состоит в том, что на современном этапе развития теории сложности мы не умеем получать "хороших" нижних оценок сложности. Магистральное направление исследований по математической криптографии состоит в получении такого рода оценок при некоторых недоказанных предположениях. Основные усилия специалистов направлены на поиск наиболее "слабых" предположений указанного типа.

В теоретико-сложностной области исследований по криптографии в последнее время появилась еще одна проблематика, формально к криптографии не относящаяся. Это тематика связана с моделями стеганографических методов защиты информации, а также с примыкающими проблемами -- "цифровых отпечатков пальцев" и "цифровых водяных знаков".

Несмотря на то, что точная статистика отсутствует, можно смело утверждать, что с теоретико-сложностным направлением так или иначе связано не менее половины работ в общем объеме научных публикаций по криптографической тематике. Более того, существует (на наш взгляд, несколько максималистское) мнение, что этим направлением собственно математическая криптография и исчерпывается. В России работ по этому направлению фактически не ведется. Частично отслеживать развитие исследований в данной области удается усилиями лаборатории МГУ по математическим проблемам криптографии, [Я98, АВСЯ].

Теория чисел в криптографии

Одна из главных заслуг У.Диффи и М.Хеллмана состоит в том, что они предложили конкретную конструкцию так называемого "открытого распределения ключей". Стойкость предложенного ими варианта опиралась на сложность вычисления индекса числа по простому модулю (т.е. на сложность решения задачи дискретного логарифмирования; хотя до сих пор не доказано, что стойкость схемы У.Диффи и М.Хеллмана не меньше, чем сложность дискретного логарифмирования). Вскоре после работы У.Диффи и М.Хеллмана коллектив авторов, в составе Р.Ривеста, А.Шамира и Л.Адлемана предложил схему открытого шифрования, стойкость которой была основана на сложности разложения числа на простые множители. Собственно, эти две задачи и являются основой для еще одного крупнейшего направления исследований в открытой криптографии. Чуть позже была предложена схема открытого распределения ключей с использованием операции в группе точек эллиптической кривой. Приведем список основных теоретико-числовых задач, интенсивные исследования которых стимулируются криптографией:

найти индекс числа по простому модулю (решить задачу дискретного логарифмирования); разложить данное число на простые множители (задача факторизации); проверить заданное число на простоту; построить простое число из заданного интервала; предложить быстрые алгоритмы для модульной арифметики; вычислить порядок группы точек заданной эллиптической кривой; построить эллиптическую кривую, группа точек которой имеет заданный порядок; найти "дискретный логарифм" в группе точек заданной эллиптической кривой. Хотя теория чисел и является одним из древнейших разделов математики, именно перечисленные выше криптографические задачи стимулировали в последние десятилетия ее развитие. Анализ современного состояния исследований в этом направлении требует отдельного обзора. Однако, на наш взгляд можно отметить следующие тенденции в развитии исследований по данному направлению. В течение ряда последних лет принципиально новых идей в задаче дискретного логарифмирования и факторизации не появляется. Все последние исследования сосредоточены в рамках "классической" концепции метода "прообразов": уравнение, требующее решения, "вкладывается" в больший математический объект. При этом удается построить линейную систему уравнений, множество неизвестных которой содержит и искомые параметры (см. методы линейного решета, квадратичного решета, решета числового поля). "Борьба" ведется вокруг вопросов эффективности реализации алгоритмов на конкретной вычислительной базе. Все чаще и чаще теоретические исследования переходят в плоскость практической реализации алгоритмов.

Алгоритмическая криптография

Остановимся подробнее на "традиционной" криптографии. Это третье крупное направление исследований в открытой криптографии. Иногда для такой криптографии используют термин "криптография с симметричным (секретным) ключом". Мы используем термин "алгоритмическая" криптография, поскольку, по сути, речь идет об анализе и синтезе алгоритмов с фиксированными параметрами. Фактически это является разделом дискретной математики, в западной терминологии называемым "Computer Science" (в России этот раздел дискретной математики находится в зачаточном состоянии, поэтому для него нет устоявшегося русского эквивалента названия).

Основным движущим мотивом развития данного направления в открытой криптографии являются потребности "гражданской" криптографии. Началом развития современного этапа в исследованиях по алгоритмической криптографии стало принятие в США в 1977 году в качестве Федерального стандарта DES-алгоритма, который de facto оставался до недавнего времени стандартом криптографической защиты данных для негосударственных применений во всем мире. Симптоматично практически точное совпадение по времени принятия DES-алгоритма в качестве стандарта с публикацией У.Диффи и М.Хеллмана; по-видимому, это объясняется тем, что конец 70-х годов -- этот тот рубеж, когда компьютеры стали превращаться из прибора лабораторного в прибор бытовой. Серьезным толчком для дальнейшего развития исследований в данном направлении послужил впервые проведенный публично в США конкурс на новый криптографический стандарт (AES - Advanced Encryption Standard).

Криптографические алгоритмы с симметричным ключом разбиваются на два крупных класса - блочные алгоритмы шифрования (итерационного типа) и поточные алгоритмы шифрования. Наиболее удачная формулировка различия между этими схемами принадлежит, по-видимому, швейцарскому криптографу Райнеру Рюппелю [Rup92]: "Блочные шифры реализуют одно постоянное преобразование над большими блоками открытого текста; поточные шифры реализуют меняющиеся во времени преобразования отдельных знаков открытого текста".

В публикациях по этим двум направлениям известный в открытом мире криптограф Брюс Шнейер отмечает следующее отличие: работы, посвященные блочным шифрам, как правило, рассматривают конкретные схемы (с конкретными параметрами, а в ряде случаев даже -- и с конкретными названиями), в то время как работы по поточным шифрам достаточно часто относятся к обобщенным или типовым схемам шифрования (из этого правила, как из любого другого, конечно имеются исключения).

Блочные криптографические алгоритмы

В открытой криптографии подавляющее большинство работ, посвященных криптографическому анализу блочных шифров, связано с методами дифференциального и линейного анализа или с их модификациями.

Исторически первым из двух упомянутых был разработанный в 1990 году израильскими математиками Э.Бихамом и А.Шамиром метод дифференциального криптоанализа. Д.Копперсмит утверждает[ Cop92], что этот метод был известен команде разработчиков DES алгоритма еще в начале 70-х годов. Но в то время этот метод был засекречен. Справедливости ради, необходимо отметить, что идея, близкая к методу дифференциального анализа, была опубликована до работы Э.Бихама и А.Шамира в 1990 году С.Мерфи [Mur90]. Работы по данному направлению для каждого анализируемого шифра сводятся к построению набора алгоритмических приемов поиска дифференциальных характеристик для части итераций, имеющих повышенную вероятность. Введем несколько математических обозначений, которые помогут нам перечислить появившиеся в печати работы по развитию этого метода. Пусть

<
(1)
при случайном равновероятном выборе
, где
 -- операция покоординатного суммирования двоичных векторов одинаковой размерности.

Метод дифференциального анализа развивался в следующих направлениях.

Вскоре после изобретения метода дифференциального анализа было отмечено, что изучать соотношение (1) можно и для случая, когда операция покоординатного суммирования
заменяется на операцию суммирования по модулю
, [Ber92].

В 1993 году израильские математики И.Бен-Аройа и Э.Бихам [BeBi93] предложили искать дифференциальные характеристики, считая, что ключ принимает не все возможные значения, а лишь значения из некоторого подмножества. Этот метод получил название метода условных дифференциалов.

В 1994 году датский математик Ларс Кнудсен [Kn94] предложил строить по аналогии с обычным дифференциальным методом криптоанализа метод усеченных дифференциалов. Фактически Кнудсен предлагает "следить" в равенстве (1) лишь за частью (специально выбираемой) бит векторов
и
.

В 1994 году швейцарский криптограф Х.Лаи [Lai94] (см. также [Kn94]) показал, что для построения метода криптографического анализа вместо пар
$ (L,d)$ (Gif 37x28, 322 байт)
, где
 -- некоторое (собственное) подпространство
, а
. При этом вероятностью дифференциальной характеристики такого вида называют вероятность выполнения следующего равенства



В 1998 году Э.Бихам, А.Бирюков и А.Шамир (их результаты опубликованы на год позже в [BiBi99]) заметили, что для построения метода криптографического анализа можно использовать с равным успехом дифференциалы имеющие не повышенную, а пониженную вероятность, а еще лучше -- нулевую вероятность появления (невозможные дифференциалы). Именно этим методом была обнаружена слабость в криптографическом алгоритме Skipjack -- первом и пока единственным алгоритме, авторство которого официально признано Агентством Национальной Безопасности США (считается, что к разработке DES-алгоритма АНБ США отношения не имеет).



Основная задача при "классическом" варианте дифференциального метода криптографического анализа заключается в поиске дифференциальных характеристик, имеющих "большие" вероятности выполнения равенства (1<). Для шифров итерационного типа чаще всего построить дифференциальную характеристику, имеющую гарантировано большую вероятность, не удается. В 1999 году Д.Вагнер [Wag99] предложил следующую идею того, как можно использовать "хорошие" дифференциальные характеристики, полученные только для малой части итераций шифра. Пусть отображение
$ F=F_2circ F_1$ (Gif 77x26, 337 байт)
;
,
известны "хорошие" дифференциальные характеристики
$ F_1(x)oplus<br><br></div> F_1(xoplus a)=b$ (Gif 138x28, 641 байт) и
равны
и
соответственно. Тогда, если выполнено неравенство
, то для криптографического анализа становится эффективнее использовать характеристики, состоящие из 4 пар вариантов открытого и шифрованного текстов
,
,
,
, таких, что
,
,
. Этот метод автор назвал методом бумеранга.

Идея метода линеаризации была предложена японскими специалистами М.Матцуи и А.Ямагиши [MY92] в 1992 году. Как известно, суть метода сводится к итеративной процедуре поиска линейного статистического аналога, реализуемого блочным шифром, имеющего достаточно большое преобладание. Более точно, пусть блочный шифр (или часть его итераций без первого и/или последнего раунда) реализует отображение
,
, для которых вероятность выполнения соотношения





равна
при случайном выборе
(здесь, запись
оценивается объем материала, на котором удастся отбраковать ложные варианты ключей.

В 1994 году американцы Бертон Калиски и Матью Робшау [KR94] предложили вместо одного набора векторов
,
использовать несколько таких наборов
,
,


Метод линеаризации был обобщен в 1997 году криптографами из Цюриха Карло Харпесом и Джеймсом Месси, [HaMa97]. Суть метода в прежних обозначениях сводится к поиску разбиения пространства
и подмножества
, для которых строится некоторая эмпирическая метрика, позволяющая отличить распределение образов
по блокам разбиения
при случайном выборе аргумента
из подмножества
. Имеются библиографические ссылки на варианты этого метода, датируемые 1994 годом [MPWW94, Ha94], однако, эти работы нам недоступны. Этот метод называют методом разбиений.

В 1994 году [LaMa94] криптографы из Стэнфордского университета Сьюзан Лэнгфорд и Мартин Хеллман используя идеи как дифференциального анализа, так и линейного предложили новый метод линейно-дифференциального криптоанализа. Суть метода сводится поиску такого вектора
, что для булевой функции


Еще одно обобщение метода линеаризации было предложено Л.Кнудсеном и М.Робшау в 1996 году [KnRo96]. Авторы метода нелинейного приближения заметили, что для отбраковки опробуемых ключей первой и/или последней итераций можно использовать не только линейные соотношения на входных и выходных битах промежуточных шифртекстов.



В 1997 году в работе [JK97] Т.Джекобсен и Л.Кнудсен предложили с помощью интерполяционной формулы Лагранжа сводить задачу определения ключа алгоритма блочного шифрования к нахождению корня нелинейного уравнения от одной переменной в конечном поле (интерполяционная атака). Сложность такого метода определяется степенью многочлена и числом ненулевых мономов в нем. Развивая эту идею, Т.Джекобсен в 1999 году [Ja99] предлагает рассматривать многочлены "приближающие" шифрпреобразование лишь с некоторой вероятностью, но при этом имеющими низкую степень нелинейности. Метод нахождения ключей при таком подходе опирается на алгоритмы декодирования кодов Рида -- Соломона за границей корректирующей способности кода. Вопросы минимизации степени интерполирующего многочлена за счет выбора подходящего примитивного многочлена для задания поля и за счет применения невырожденного линейного преобразования на входе и выходе изучены А.Иоссефом и Г.Гонгом в работе [YG00].

Отдельный класс криптоаналитических методов основан на использовании особенностей построения "ключевых разверток" для шифров итерационного типа (обзор ранних работ по этому направлению см. в [KSW96]). В открытой криптографии метод согласования (meet-in-the middle) для случая, когда множество бит ключа, от которых зависят первые и последние итерации шифра, не пересекаются, фактически является фольклорным (достаточно сложно установить его первоисточник). Постоянно появляются работы, посвященные поиску новых классов "слабых" и "полу-слабых" ключей для различных алгоритмов шифрования. Дифференциальный метод криптографического анализа "породил" метод "связанных ключей" (related key cryptanalysis) [Bih93]. Этот метод рассматривает задачу определения ключа шифрования при условии, что аналитик имеет возможность наблюдать серии пар открытый-шифрованный текст, полученные не на одном ключе, а на нескольких различных ключах, причем известно как эти различные ключи связаны между собой.



В 1999 году эмигрантом из России Алексом Бирюковым и известным американским криптографом Дэвидом Вагнером был предложен новый вид атаки на блочные шифры, эффективность которой не зависит от числа итераций [BiWa99, BiWa00]. Рассмотренный метод криптоанализа получил название "скользящей атаки" (Slide Attacks). Предложенный ими метод основан на том, что некоторые шифры являются композицией нескольких одинаковых (не однотипных, а в точности одинаковых! -- за счет особенностей ключевой развертки) преобразований.

Основные тенденции в синтезе алгоритмов блочного шифрования нашли свое отражение в проведенном конкурсе на новый алгоритм шифрования США. Анализ представленных схем показывает, что все они построены по каноническим принципам К.Шеннона как SP-сети (чередование нелинейных замен в подвекторах шифруемого блока с последующей перестановкой бит между подвекторами), но с увеличенной до 128 бит длиной шифруемого блока. В некоторых алгоритмах авторы отказываются от простой перестановки бит между подвекторами и рассматривают линейные преобразования более общего вида. Остается популярным и подход к построению блочных шифров по схеме Фейстеля, т.е. в виде регистра сдвига на малом числе ячеек с нелинейной обратной связью. Основные достижения в этом направлении связаны с интересными алгоритмическими приемами, позволяющими добиться эффективной реализации схем на вычислительных платформах различного типа.

Криптографические алгоритмы гаммирования

В открытых работах, посвященных криптографическим исследованиям поточных шифров можно выделить следующие особенности, по сравнению с работами, посвященными блочным шифрам.

Подавляющее число работ, посвященных блочным шифрам, ориентирована на анализ и синтез DES-подобных алгоритмов. Для поточных шифров нет такого "центра притяжения". Синтезные решения и методы "взлома" поточных шифров отличаются значительным разнообразием. Для блочных шифров нет "канонической" теории их синтеза и анализа. Для поточных шифров сформировалась такая "каноническая" теория построения методов "взлома", а также "канонический" набор требований, которым должны удовлетворять "хорошие" схемы. В идейном плане методы взлома поточных шифров сводятся к одному из следующих двух подходов:



использование статистических связей (корреляционные атаки); линеаризация (сведение задачи поиска ключа к решению системы линейных уравнений). Соответственно, от стойких поточных схем требуется:

большие периоды выходных последовательностей; хорошие статистические свойства выходных последовательностей (см. "постулаты Соломона Голомба" [Gol67]); нелинейность (точнее, высокая линейная сложность) выходных последовательностей.

Значительная часть предлагаемых поточных схем состоит из унифицированных узлов и блоков, напоминая тем самым выставку поделок из детского конструктора. Основными деталями этого "криптографического конструктора" являются:

регистры сдвига (на битах или двоичных векторах определенной размерности) с обратной связью (обычно линейной), дискретные (главным образом, булевы) функции усложнения, запоминающие устройства, узлы, реализующие неравномерное движение. Регистры сдвига обеспечивают большой период и хорошие статистические свойства последовательностей, в то время как остальные детали "конструктора" используются для внесения элементов нелинейности в законы функционирования поточной схемы. Исследования поточных схем протекают более динамично. В то время как исследования DES-алгоритма до недавнего времени шли без видимых продвижений, область поточного шифрования испытала множество "взлетов и падений", ряд схем, вначале казавшихся стойкими, "рухнул" при последующем исследовании. Вопросам исследования поточных шифров уделяется больше внимания в европейских криптографических центрах, в то время как в США больший "крен" делается в сторону блочных шифров. Криптографические исследования поточных шифров явились источником ряда задач для фундаментальных направлений дискретной математики. Отметим некоторые из них.

Задачи анализа свойств регистров сдвига с линейной обратной связью стимулировали исследования линейных рекуррентных последовательностей над полями и кольцами. Для анализа свойств этих последовательностей разработан мощный алгебраический аппарат. Задачи поиска статистических связей между входом и выходом узла, реализующего дискретную (булеву) функцию, и построение функций с заданными свойствами (корреляционно-иммунные функции, бент-функции и др.). Исследования, посвященные анализу свойств новой поточной схемы, довольно часто проходят одни и те же стадии. Вначале исследователи пытаются изучить свойства схемы алгебраическими и комбинаторными методами. Если это не помогает, то пытаются применить разнообразные методы теории кодирования. Затем предпринимаются попытки анализировать задачу поиска ключа методами математической статистики (теория проверки гипотез). Из исследований криптографических алгоритмов с симметричным ключом выделилось отдельное направление, которое занимается исследованием криптографических свойств отображений конечных множеств (как правило, конечномерных пространств над полем из двух элементов) и построением отображений "хороших" с криптографической точки зрения. При этом к криптографическим свойствам относят все те свойства отображений, которые "сыграли" решающую роль при построении конкретных методов анализа.

В криптографической литературе рассматриваются постановки задач, связанные с реалиями эксплуатации шифрсредств. Так осенью 1996 года Эли Бихам и Ади Шамир обнародовали через INTERNET новую криптографическую атаку, названную "методом дифференциальных искажений" ("Differential Fault Analysis" или DFA). С одной стороны DFA-методы воплотили в себе известные к тому времени идеи Бонэ, Демилло и Липтона, применивших впервые искажение вычислений для вскрытия систем с открытым ключом, с другой стороны, эти методы явились развитием метода дифференциального анализа. Суть нового метода состоит в том, что при искажении вычислений в процессе зашифрования шифрующее устройство может выдать данные, сравнение которых с неискаженными данными облегчает восстановление секретных параметров устройства. Кроме этого метода известна публикация, посвященная вскрытию ключей криптографического алгоритма по времени его работы.

Криптографические исследования функций хеширования в значительной степени сводятся к описанию конкретных подходов к построению коллизий для конкретных схем. В публикациях по криптографии встречается ряд работ, которые не вписываются в приведенные выше направления исследований. Сюда мы относим работы посвященные анализу и синтезу различных режимов использования "традиционных" криптографических алгоритмов; работы, посвященные криптографическим схемам на нетрадиционных платформах.

Таким образом, развитие современной открытой криптографии с одной стороны обусловлено потребностями "гражданской" криптографии, а с другой стороны она является источником задач для фундаментальной математики. На сегодняшний день открытая криптография является уже достаточно развитой наукой, составляет заметную конкуренцию для спецслужб, в компетенцию которых входят вопросы информационной безопасности. Подтверждением этого тезиса являются, во-первых, претензии спецслужб на приоритеты ряда изобретений открытой криптографии, а во-вторых, факт обнаружения слабостей в алгоритме АНБ именно открытыми криптографами. Таким образом, по некоторым направлениям открытая криптография не уступает своей засекреченной сестре. К сожалению, мы вынуждены констатировать, что Россия в открытой криптографии фактически не представлена. Существующие публикации российских специалистов носят либо обзорный характер (см. [АВСЯ], [Я98]), либо откровенно преследуют цель рекламной поддержки разработок некоторых коммерческих фирм.

Литература

[АВСЯ] Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В. "Криптография в банковском деле", М., МИФИ, 1997.

[ГПТ] Грушо А.А., Применко Э.А., Тимонина Е.Е., "Анализ и синтез криптоалгоритмов. Курс лекций", Йошкар-Ола, изд. МФ МОСУ, 2000.

[Кан] Кан Д., "Взломщики кодов", М., Центрполиграф, 2000.

[Чм2001] Чмора А.Л., "Современная прикладная криптография", М., "Гелиос АФВ", 2001.

[Ш48] Шеннон К., "Работы по теории информации и кибернетике", М., Иностранная литература, 1963.

[Я98] Под ред. В.В. Ященко, "Введение в криптографию", М., МЦНМО -- ЧеРо, 1998.

[BeBi93] Ben-Aroya I., Biham E., "Differential Cryptanalysis of Lucifer", CRYPTO"93, Springer, 187-199.

[Ber92] Berson T.A., "Differential Cryptanalysis Mod with Applications to MD5", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer, 71-80.

[ [Bih93] Biham E., "New Type of Cryptoanalytic Attacks Using Related Keys", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 398-409.

[ [BiBi99] Biham E., Biryukov A., Shamir A., "Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials", EUROCRYPT"99.

[ [BiWa99] Biryukov A., Wagner D., "Slide Attacks", Proccedings of FSE`99, Lecture Notes in Computer Science, v. 950, Springer, 1999, 245-259.

[ [BiWa00] Biryukov A., Wagner D., "Advanced Slide Attacks", EUROCRYPT"2000, proccedings, Lecture Notes in Computer Science, Springer, 2000, 589-606.

[ [Cop92] Coppersmith D., "The data encryption standard (DES) and its strength against attacks", Technical Report RC 18613 (81421), IBM Research Division, December 1992.

[ [DH76] Diffie W., Hellman M.E., "New Directions in Cryptography", IEEE Transactions on Information Theory, v. IT-22, no. 6, November 1976, 644-654.

[ [G39] Gaines H.F., "Cryptanalysis: A Study of Ciphers and their Solutions", Dover Publications, 1939.

[ [Gol67] Golomb S.W., "Shift Register Sequences", Holden-Day, San Francisco, 1967.

[ [Ha94] Harpes C., "Success probability of partitioning cryptanalysis", Proceedings of the EIDMA Winter Meeting on Coding Theory, Information Theory and Cryptology. December 1994.

[ [HaMa97] Harpes C., Massey J.L., "Partitioning Cryptanalysis", Proceedings of Fast Software Encryption Workshop"97, 13-27.

[ [JK97] Jakobsen T., Knudsen L., "The Interpolation Attack on Block Cipher", Lecture Notes in Computer Science 1267, Fast Software Encryption"97, Springer, 1997, 28-40.

[ [Ja99] Jakobsen T., "Cryptanalysis of Block Ciphers with Probabilistic Non-linear Relations of Low Degree", Lecture Notes in Computer Science, v. 1462, CRYPTO"99, Springer, 1999, 213-222.

[Kahn67] Kahn D., "The Codebreakers: The Story of Secret Writing", MacMillam Publishing Co., New York, 1967.

[KR94] Kaliski B.S., Robshaw M.J.B., "Linear cryptanalysis using multiple approximations", CRYPTO"94, Lecture Notes in Computer Science, v. 950, Springer, 1995, 26-39.

[KSW96] Kelsey J., Schneier B., Wagner D., "Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES", CRYPTO"96, Springer, 237-251.

[Kn94] Knudsen L., "Truncated and Higher Order Differentials", Fast Software Encryption, Second International Workshop, Belgium, December, 1994, Springer, 196-211.

[KnRo96] Knudsen L.R., Robshaw M.J.B., "Non-Linear Approximation in Linear Cryptanalysis", EUROCRYPT"96, 224-236.

[Lai94] Lai X., "Higher Order Derivatives and Differential Cryptanalysis", Communications and Cryptography, Kluwer Academic Publishers, 1994, 227-233.

[LaMa94] Langford S.K., Hellman M.E., "Differential-Linear Cryptanalysis", CRYPTO"94, Springer, 17-25.

[MY92] Matsui M., Yamagishi A., "A new method for known plaintext attack of FEAL cipher", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer-Verlag, Berlin, 1992, 81-91.

[Mat93] Matsui M., "Linear cryptanalysis method for DES cipher", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 1994, 386-397.

[Mer78] Merkle R.C., "Secure Communication Over Insecure Channels", Communications of the ACM, v. 21, no. 4, 1978, 294-299.

[Mur90] Murphy S., "The cryptanalysis of FEAL-4 with 20 chosen plaintexts", Journal of Cryptology, 1990, v. 3, No. 2, 145-154.

[MPWW94] Murphy S., Piper F., Walker M., Wild P., "Likelihood estimation for block cipher keys", unpublished, May 1994.

[Rup92] in G.L. Simmons (ed.)., "Contemporary Cryptology, The Science of Information Integrity", IEEE, New York, 1992.

[Sh49] Shannon C.E., "Communication theory of secrecy systems", Bell System Technical Journal, v. 28, 1949, 656-715.

[Wag99] Wagner D., "The Boomerang Attack", proceedings of Fast Software Encryption"99, Springer Verlag, Lecture Notes in Computer Science, v. 1636, 1999, 156-170.

[YG00] Youssef A.M., Gong G., "On the Interpolation Attacks on Block Ciphers", Techical Report, Center for Applied Cryptographic Research, University of Waterloo, Canada, 2000.

Источник: сайт Cryptography.Ru