Еще одно обобщение метода линеаризации было предложено Л.Кнудсеном и М.Робшау в 1996 году [KnRo96]. Авторы метода нелинейного приближения заметили, что для отбраковки опробуемых ключей первой и/или последней итераций можно использовать не только линейные соотношения на входных и выходных битах промежуточных шифртекстов.



В 1997 году в работе [JK97] Т.Джекобсен и Л.Кнудсен предложили с помощью интерполяционной формулы Лагранжа сводить задачу определения ключа алгоритма блочного шифрования к нахождению корня нелинейного уравнения от одной переменной в конечном поле (интерполяционная атака). Сложность такого метода определяется степенью многочлена и числом ненулевых мономов в нем. Развивая эту идею, Т.Джекобсен в 1999 году [Ja99] предлагает рассматривать многочлены "приближающие" шифрпреобразование лишь с некоторой вероятностью, но при этом имеющими низкую степень нелинейности. Метод нахождения ключей при таком подходе опирается на алгоритмы декодирования кодов Рида -- Соломона за границей корректирующей способности кода. Вопросы минимизации степени интерполирующего многочлена за счет выбора подходящего примитивного многочлена для задания поля и за счет применения невырожденного линейного преобразования на входе и выходе изучены А.Иоссефом и Г.Гонгом в работе [YG00].

Отдельный класс криптоаналитических методов основан на использовании особенностей построения "ключевых разверток" для шифров итерационного типа (обзор ранних работ по этому направлению см. в [KSW96]). В открытой криптографии метод согласования (meet-in-the middle) для случая, когда множество бит ключа, от которых зависят первые и последние итерации шифра, не пересекаются, фактически является фольклорным (достаточно сложно установить его первоисточник). Постоянно появляются работы, посвященные поиску новых классов "слабых" и "полу-слабых" ключей для различных алгоритмов шифрования. Дифференциальный метод криптографического анализа "породил" метод "связанных ключей" (related key cryptanalysis) [Bih93]. Этот метод рассматривает задачу определения ключа шифрования при условии, что аналитик имеет возможность наблюдать серии пар открытый-шифрованный текст, полученные не на одном ключе, а на нескольких различных ключах, причем известно как эти различные ключи связаны между собой.



В 1999 году эмигрантом из России Алексом Бирюковым и известным американским криптографом Дэвидом Вагнером был предложен новый вид атаки на блочные шифры, эффективность которой не зависит от числа итераций [BiWa99, BiWa00]. Рассмотренный метод криптоанализа получил название "скользящей атаки" (Slide Attacks). Предложенный ими метод основан на том, что некоторые шифры являются композицией нескольких одинаковых (не однотипных, а в точности одинаковых! -- за счет особенностей ключевой развертки) преобразований.

Основные тенденции в синтезе алгоритмов блочного шифрования нашли свое отражение в проведенном конкурсе на новый алгоритм шифрования США. Анализ представленных схем показывает, что все они построены по каноническим принципам К.Шеннона как SP-сети (чередование нелинейных замен в подвекторах шифруемого блока с последующей перестановкой бит между подвекторами), но с увеличенной до 128 бит длиной шифруемого блока. В некоторых алгоритмах авторы отказываются от простой перестановки бит между подвекторами и рассматривают линейные преобразования более общего вида. Остается популярным и подход к построению блочных шифров по схеме Фейстеля, т.е. в виде регистра сдвига на малом числе ячеек с нелинейной обратной связью. Основные достижения в этом направлении связаны с интересными алгоритмическими приемами, позволяющими добиться эффективной реализации схем на вычислительных платформах различного типа.

Криптографические алгоритмы гаммирования

В открытых работах, посвященных криптографическим исследованиям поточных шифров можно выделить следующие особенности, по сравнению с работами, посвященными блочным шифрам.

Подавляющее число работ, посвященных блочным шифрам, ориентирована на анализ и синтез DES-подобных алгоритмов. Для поточных шифров нет такого "центра притяжения". Синтезные решения и методы "взлома" поточных шифров отличаются значительным разнообразием. Для блочных шифров нет "канонической" теории их синтеза и анализа. Для поточных шифров сформировалась такая "каноническая" теория построения методов "взлома", а также "канонический" набор требований, которым должны удовлетворять "хорошие" схемы. В идейном плане методы взлома поточных шифров сводятся к одному из следующих двух подходов:



использование статистических связей (корреляционные атаки); линеаризация (сведение задачи поиска ключа к решению системы линейных уравнений). Соответственно, от стойких поточных схем требуется:

большие периоды выходных последовательностей; хорошие статистические свойства выходных последовательностей (см. "постулаты Соломона Голомба" [Gol67]); нелинейность (точнее, высокая линейная сложность) выходных последовательностей.

Значительная часть предлагаемых поточных схем состоит из унифицированных узлов и блоков, напоминая тем самым выставку поделок из детского конструктора. Основными деталями этого "криптографического конструктора" являются:

регистры сдвига (на битах или двоичных векторах определенной размерности) с обратной связью (обычно линейной), дискретные (главным образом, булевы) функции усложнения, запоминающие устройства, узлы, реализующие неравномерное движение. Регистры сдвига обеспечивают большой период и хорошие статистические свойства последовательностей, в то время как остальные детали "конструктора" используются для внесения элементов нелинейности в законы функционирования поточной схемы. Исследования поточных схем протекают более динамично. В то время как исследования DES-алгоритма до недавнего времени шли без видимых продвижений, область поточного шифрования испытала множество "взлетов и падений", ряд схем, вначале казавшихся стойкими, "рухнул" при последующем исследовании. Вопросам исследования поточных шифров уделяется больше внимания в европейских криптографических центрах, в то время как в США больший "крен" делается в сторону блочных шифров. Криптографические исследования поточных шифров явились источником ряда задач для фундаментальных направлений дискретной математики. Отметим некоторые из них.

Задачи анализа свойств регистров сдвига с линейной обратной связью стимулировали исследования линейных рекуррентных последовательностей над полями и кольцами. Для анализа свойств этих последовательностей разработан мощный алгебраический аппарат. Задачи поиска статистических связей между входом и выходом узла, реализующего дискретную (булеву) функцию, и построение функций с заданными свойствами (корреляционно-иммунные функции, бент-функции и др.). Исследования, посвященные анализу свойств новой поточной схемы, довольно часто проходят одни и те же стадии. Вначале исследователи пытаются изучить свойства схемы алгебраическими и комбинаторными методами. Если это не помогает, то пытаются применить разнообразные методы теории кодирования. Затем предпринимаются попытки анализировать задачу поиска ключа методами математической статистики (теория проверки гипотез). Из исследований криптографических алгоритмов с симметричным ключом выделилось отдельное направление, которое занимается исследованием криптографических свойств отображений конечных множеств (как правило, конечномерных пространств над полем из двух элементов) и построением отображений "хороших" с криптографической точки зрения. При этом к криптографическим свойствам относят все те свойства отображений, которые "сыграли" решающую роль при построении конкретных методов анализа.

В криптографической литературе рассматриваются постановки задач, связанные с реалиями эксплуатации шифрсредств. Так осенью 1996 года Эли Бихам и Ади Шамир обнародовали через INTERNET новую криптографическую атаку, названную "методом дифференциальных искажений" ("Differential Fault Analysis" или DFA). С одной стороны DFA-методы воплотили в себе известные к тому времени идеи Бонэ, Демилло и Липтона, применивших впервые искажение вычислений для вскрытия систем с открытым ключом, с другой стороны, эти методы явились развитием метода дифференциального анализа. Суть нового метода состоит в том, что при искажении вычислений в процессе зашифрования шифрующее устройство может выдать данные, сравнение которых с неискаженными данными облегчает восстановление секретных параметров устройства. Кроме этого метода известна публикация, посвященная вскрытию ключей криптографического алгоритма по времени его работы.

Криптографические исследования функций хеширования в значительной степени сводятся к описанию конкретных подходов к построению коллизий для конкретных схем. В публикациях по криптографии встречается ряд работ, которые не вписываются в приведенные выше направления исследований. Сюда мы относим работы посвященные анализу и синтезу различных режимов использования "традиционных" криптографических алгоритмов; работы, посвященные криптографическим схемам на нетрадиционных платформах.

Таким образом, развитие современной открытой криптографии с одной стороны обусловлено потребностями "гражданской" криптографии, а с другой стороны она является источником задач для фундаментальной математики. На сегодняшний день открытая криптография является уже достаточно развитой наукой, составляет заметную конкуренцию для спецслужб, в компетенцию которых входят вопросы информационной безопасности. Подтверждением этого тезиса являются, во-первых, претензии спецслужб на приоритеты ряда изобретений открытой криптографии, а во-вторых, факт обнаружения слабостей в алгоритме АНБ именно открытыми криптографами. Таким образом, по некоторым направлениям открытая криптография не уступает своей засекреченной сестре. К сожалению, мы вынуждены констатировать, что Россия в открытой криптографии фактически не представлена. Существующие публикации российских специалистов носят либо обзорный характер (см. [АВСЯ], [Я98]), либо откровенно преследуют цель рекламной поддержки разработок некоторых коммерческих фирм.

Литература

[АВСЯ] Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В. "Криптография в банковском деле", М., МИФИ, 1997.

[ГПТ] Грушо А.А., Применко Э.А., Тимонина Е.Е., "Анализ и синтез криптоалгоритмов. Курс лекций", Йошкар-Ола, изд. МФ МОСУ, 2000.

[Кан] Кан Д., "Взломщики кодов", М., Центрполиграф, 2000.

[Чм2001] Чмора А.Л., "Современная прикладная криптография", М., "Гелиос АФВ", 2001.

[Ш48] Шеннон К., "Работы по теории информации и кибернетике", М., Иностранная литература, 1963.

[Я98] Под ред. В.В. Ященко, "Введение в криптографию", М., МЦНМО -- ЧеРо, 1998.

[BeBi93] Ben-Aroya I., Biham E., "Differential Cryptanalysis of Lucifer", CRYPTO"93, Springer, 187-199.

[Ber92] Berson T.A., "Differential Cryptanalysis Mod with Applications to MD5", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer, 71-80.

[ [Bih93] Biham E., "New Type of Cryptoanalytic Attacks Using Related Keys", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 398-409.

[ [BiBi99] Biham E., Biryukov A., Shamir A., "Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials", EUROCRYPT"99.

[ [BiWa99] Biryukov A., Wagner D., "Slide Attacks", Proccedings of FSE`99, Lecture Notes in Computer Science, v. 950, Springer, 1999, 245-259.

[ [BiWa00] Biryukov A., Wagner D., "Advanced Slide Attacks", EUROCRYPT"2000, proccedings, Lecture Notes in Computer Science, Springer, 2000, 589-606.

[ [Cop92] Coppersmith D., "The data encryption standard (DES) and its strength against attacks", Technical Report RC 18613 (81421), IBM Research Division, December 1992.

[ [DH76] Diffie W., Hellman M.E., "New Directions in Cryptography", IEEE Transactions on Information Theory, v. IT-22, no. 6, November 1976, 644-654.

[ [G39] Gaines H.F., "Cryptanalysis: A Study of Ciphers and their Solutions", Dover Publications, 1939.

[ [Gol67] Golomb S.W., "Shift Register Sequences", Holden-Day, San Francisco, 1967.

[ [Ha94] Harpes C., "Success probability of partitioning cryptanalysis", Proceedings of the EIDMA Winter Meeting on Coding Theory, Information Theory and Cryptology. December 1994.

[ [HaMa97] Harpes C., Massey J.L., "Partitioning Cryptanalysis", Proceedings of Fast Software Encryption Workshop"97, 13-27.

[ [JK97] Jakobsen T., Knudsen L., "The Interpolation Attack on Block Cipher", Lecture Notes in Computer Science 1267, Fast Software Encryption"97, Springer, 1997, 28-40.

[ [Ja99] Jakobsen T., "Cryptanalysis of Block Ciphers with Probabilistic Non-linear Relations of Low Degree", Lecture Notes in Computer Science, v. 1462, CRYPTO"99, Springer, 1999, 213-222.

[Kahn67] Kahn D., "The Codebreakers: The Story of Secret Writing", MacMillam Publishing Co., New York, 1967.

[KR94] Kaliski B.S., Robshaw M.J.B., "Linear cryptanalysis using multiple approximations", CRYPTO"94, Lecture Notes in Computer Science, v. 950, Springer, 1995, 26-39.

[KSW96] Kelsey J., Schneier B., Wagner D., "Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES", CRYPTO"96, Springer, 237-251.

[Kn94] Knudsen L., "Truncated and Higher Order Differentials", Fast Software Encryption, Second International Workshop, Belgium, December, 1994, Springer, 196-211.

[KnRo96] Knudsen L.R., Robshaw M.J.B., "Non-Linear Approximation in Linear Cryptanalysis", EUROCRYPT"96, 224-236.

[Lai94] Lai X., "Higher Order Derivatives and Differential Cryptanalysis", Communications and Cryptography, Kluwer Academic Publishers, 1994, 227-233.

[LaMa94] Langford S.K., Hellman M.E., "Differential-Linear Cryptanalysis", CRYPTO"94, Springer, 17-25.

[MY92] Matsui M., Yamagishi A., "A new method for known plaintext attack of FEAL cipher", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer-Verlag, Berlin, 1992, 81-91.

[Mat93] Matsui M., "Linear cryptanalysis method for DES cipher", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 1994, 386-397.

[Mer78] Merkle R.C., "Secure Communication Over Insecure Channels", Communications of the ACM, v. 21, no. 4, 1978, 294-299.

[Mur90] Murphy S., "The cryptanalysis of FEAL-4 with 20 chosen plaintexts", Journal of Cryptology, 1990, v. 3, No. 2, 145-154.

[MPWW94] Murphy S., Piper F., Walker M., Wild P., "Likelihood estimation for block cipher keys", unpublished, May 1994.

[Rup92] in G.L. Simmons (ed.)., "Contemporary Cryptology, The Science of Information Integrity", IEEE, New York, 1992.

[Sh49] Shannon C.E., "Communication theory of secrecy systems", Bell System Technical Journal, v. 28, 1949, 656-715.

[Wag99] Wagner D., "The Boomerang Attack", proceedings of Fast Software Encryption"99, Springer Verlag, Lecture Notes in Computer Science, v. 1636, 1999, 156-170.

[YG00] Youssef A.M., Gong G., "On the Interpolation Attacks on Block Ciphers", Techical Report, Center for Applied Cryptographic Research, University of Waterloo, Canada, 2000.

Источник: сайт Cryptography.Ru

---

---