FEAL: различия между версиями

FEAL (англ. Fast data Encipherment ALgorithm) — блочный шифр, разработанный Акихиро Симидзу и Сёдзи Миягути — сотрудниками компании NTT.

В нём используются 64-битовый блок и 64-битовый ключ. Его идея состоит и в том, чтобы создать алгоритм, подобный DES, но с более сильной функцией этапа. Используя меньше этапов, этот алгоритм мог бы работать быстрее. К несчастью, действительность оказалась далека от целей проекта.

История

Опубликованный в 1987 году Акихиро Симидзу и Сёдзи Миягути блочный шифр FEAL был разработан с целью повысить скорость шифрования без ухудшения надежности шифра, по сравнению с DES. Первоначально алгоритм использовал блоки размером 64 бита, ключ размером 64 бита и 4 раунда шифрования. Однако, уже в 1988 году была опубликована работа Берта ден Боера^[1], доказывающая достаточность владения 10000 шифротекстов для проведения успешной атаки на основе подобранного открытого текста. К шифру FEAL одному из первых был применен линейный криптоанализ. В том числе в 1992 году Митсуру Мацуи и Ацухиро Ямагиси доказали^[2], что достаточно узнать 5 шифротекстов для проведения успешной атаки.

Для борьбы с обнаруженными уязвимостями создатели удвоили число раундов шифрования, опубликовав стандарт FEAL-8. Однако, уже в 1990 году Генри Гилберт уязвимость и этого шифра перед атакой на основе подобранного открытого текста^[3]. Далее в 1992 году Митсуру Матсуи и Ацухиро Ямагиси (Mitsuru Matsui and Atsuhiro Yamagishi) описали^[4] атаку на основе открытых текстов, требующую ${\displaystyle 2^{15}}$ известных шифротекстов.

В связи с большим числом успешных атак, разработчиками было принято решение еще усложнить шифр. А именно, в 1990 году был представлен FEAL-N, где N - произвольное четное число раундов шифрования, и представлен FEAL-NX, где X (от англ. extended) обозначает использование расширенного до 128 бит ключа шифрования. Однако данное нововведение помогло лишь частично. В 1991 году Эли Бихам и Ади Шамир (Eli Biham and Adi Shamir), используя методы дифференциального криптоанализа, показали^[5] возможность взлома шифра с числом раундов ${\displaystyle N\leq 31}$ быстрее, чем полным перебором.

Тем не менее, благодаря интенсивности исследования алгоритма шифрования сообществом, были доказаны границы уязвимости шифра перед линейным и дифференциальным криптоанализом. Устойчивость алгоритма с числом раундов большим 26 к линейному криптоанализу показали в своей работе Шихо Мораи, Казумаро Аоки и Казуо Охта (Shiho Moriai, Kazumaro Aoki, and Kazuo Ohta)^[6], а в работе Казумаро Аоки, Кунио Кобаяси и Шихо Мораи (Kazumaro Aoki, Kunio Kobayashi, and Shiho Moriai) была доказана невозможность применить дифференциальный криптоанализ к алгоритму, использующему больше 32 раундов шифрования.^[7]

Описание

В качестве входа процесса шифрования в алгоритме FEAL-NX используется 64-битовый блок открытого текста. Процесс шифрования разбит на 3 стадии.

1. Предобработка
2. Итеративное вычисление
3. Постобработка

Кроме того, описан процесс генерации раундовых ключей, с которого и начинается шифрование, а также функции ${\displaystyle S_{0},\;S_{1},\;F,\;F_{k}}$, с помощью которых и производятся преобразования.

Определим (A,B) - операцию конкатенации двух последовательностей бит.

Определим ${\displaystyle \phi }$ — нулевой блок длины 32 бита.

Функция S

${\displaystyle S_{0}(a,b)}$ = циклический сдвиг влево на 2 бита ${\displaystyle ((a+b)\mod {256})}$

${\displaystyle S_{1}(a,b)}$ = циклический сдвиг влево на 2 бита ${\displaystyle ((a+b+1)\mod {256})}$

Функция F

Функция F берёт 32 бита данных и 16 битов ключа и смешивает их вместе.

1. ${\displaystyle F=F(\alpha ,\beta )=(F_{0},F_{1},F_{2},F_{3})}$
2. ${\displaystyle \alpha =(\alpha _{0},\alpha _{1},\alpha _{2},\alpha _{3});\;\beta =(\beta _{0},\beta _{1})}$
3. ${\displaystyle F_{1}=\alpha _{1}\oplus \beta _{0}}$
4. ${\displaystyle F_{2}=\alpha _{2}\oplus \beta _{1}}$
5. ${\displaystyle F_{1}=F_{1}\oplus \alpha _{0}}$
6. ${\displaystyle F_{2}=F_{2}\oplus \alpha _{3}}$
7. ${\displaystyle F_{1}=S_{1}(F_{1},F_{2})}$
8. ${\displaystyle F_{2}=S_{0}(F_{2},F_{1})}$
9. ${\displaystyle F_{0}=S_{0}(\alpha _{0},F_{1})}$
10. ${\displaystyle F_{3}=S_{1}(\alpha _{3},F_{2})}$

Функция ${\displaystyle F_{k}}$

Функция ${\displaystyle F_{k}}$ работает с двумя 32 битовыми словами.

1. ${\displaystyle F_{k}=F_{k}(\alpha ,\beta )=(F_{k_{0}},F_{k_{1}},F_{k_{2}},F_{k_{3}})}$
2. ${\displaystyle \alpha =(\alpha _{0},\alpha _{1},\alpha _{2},\alpha _{3});\;\beta =(\beta _{0},\beta _{1},\beta _{2},\beta _{3})}$
3. ${\displaystyle F_{k_{1}}=\alpha _{1}\oplus \alpha _{0}}$
4. ${\displaystyle F_{k_{2}}=\alpha _{2}\oplus \alpha _{3}}$
5. ${\displaystyle F_{k_{1}}=S_{1}(F_{k_{1}},(F_{k_{2}}\oplus \beta _{0}))}$
6. ${\displaystyle F_{k_{2}}=S_{0}(F_{k_{2}},(F_{k_{1}}\oplus \beta _{1}))}$
7. ${\displaystyle F_{k_{0}}=S_{0}(\alpha _{0},(F_{k_{1}}\oplus \beta _{2}))}$
8. ${\displaystyle F_{k_{3}}=S_{1}(\alpha _{3},(F_{k_{2}}\oplus \beta _{3}))}$

Генерация раундовых ключей

В результате генерации раундовых ключей, из полученного на вход ключа длиной 128 бит получается набор из N+8 раундовых ключей ${\displaystyle K_{i}}$, длиной 16 бит каждый. Данный результат получается в результате следующего алгоритма.

1. Разделение входного ключа на левый и правый ключ: ${\displaystyle K=(K_{L},K_{R})}$, они имеют длину 64 бита.
2. Обработка ключа ${\displaystyle K_{R}=(K_{R1},K_{R2})}$
3. Введение временной переменной ${\displaystyle Q_{r}}$ для ${\displaystyle 1\leq r\leq {\frac {N}{2}}+4}$:
   • ${\displaystyle Q_{r}=K_{R1}\oplus K_{R2},\;r=3i-2,\;i\in \mathbb {N} }$
   • ${\displaystyle Q_{r}=K_{R1},\;r=3i-1,\;i\in \mathbb {N} }$
   • ${\displaystyle Q_{r}=K_{R2},\;r=3i-1,\;i\in \mathbb {N} }$
4. Обработка ключа ${\displaystyle K_{L}=(A_{0},B_{0})}$
5. Введение временной переменной ${\displaystyle D_{0}=\phi }$
6. Последовательное вычисление ${\displaystyle K_{i}}$
   1. ${\displaystyle D_{r}=A_{r-1}}$
   2. ${\displaystyle A_{r}=B_{r-1}}$
   3. ${\displaystyle B_{r}=F_{k}(A_{r-1},(B_{r-q}\oplus D_{r-1})\oplus Q_{r}))=(B_{r_{0}},B_{r_{1}},B_{r_{2}},B_{r_{3}})}$
   4. ${\displaystyle K_{2(r-1)}=(B_{r_{0}},B_{r_{1}})}$
   5. ${\displaystyle K_{2(r-1)+1}=(B_{r_{2}},B_{r_{3}})}$

Предобработка

На начальной стадии блок данных ${\displaystyle P}$ готовится к итеративной процедуре шифрования.

1. ${\displaystyle P=(L_{0},R_{0})}$
2. ${\displaystyle (L_{0},R_{0})=(L_{0},R_{0})\oplus (K_{N},K_{N+1},K_{N+2},K_{N+3})}$
3. ${\displaystyle (L_{0},R_{0})=(L_{0},R_{0})\oplus (\phi ,L_{0})}$

Итеративная обработка

На этой стадии с блоком данных производится N раундов перемешивания битов по следующему алгоритму.

1. ${\displaystyle R_{r}=L_{r-1}\oplus F(R_{r-1},K_{r-1})}$
2. ${\displaystyle L_{r}=R_{r-1}}$

Постобработка

Задача этой стадии - подготовить почти готовый шифротекст к выдаче.

1. ${\displaystyle P=(R_{N},L_{N})}$
2. ${\displaystyle P=P\oplus (\phi ,R_{N})}$
3. ${\displaystyle P=P\oplus (K_{N+4},K_{N+5},K_{N+6},K_{N+7})}$

Тот же алгоритм может быть использован для дешифрования. Единственным отличием является то, что при дешифровании порядок использования частей ключа меняется на обратный.

Источники

• Eli Biham, Adi Shamir: Differential Cryptanalysis of Feal and N-Hash. EUROCRYPT 1991: 1—16
• Bert den Boer, Cryptanalysis of F.E.A.L., EUROCRYPT 1988: 293—299
• Henri Gilbert, Guy Chassé: A Statistical Attack of the FEAL-8 Cryptosystem. CRYPTO 1990: 22—33.
• Shoji Miyaguchi: The FEAL Cipher Family. CRYPTO 1990: 627—638
• Shoji Miyaguchi: The FEAL-8 Cryptosystem and a Call for Attack. CRYPTO 1989: 624—627
• Mitsuru Matsui, Atsuhiro Yamagishi: A New Method for Known Plaintext Attack of FEAL Cipher. EUROCRYPT 1992: 81—91
• Sean Murphy, The Cryptanalysis of FEAL-4 with 20 Chosen Plaintexts. J. Cryptology 2(3): 145—154 (1990)
• A. Shimizu and S. Miyaguchi, Fast data encipherment algorithm FEAL, Advances in Cryptology — Eurocrypt '87, Springer-Verlag (1988), 267—280.
• Anne Tardy-Corfdir, Henri Gilbert: A Known Plaintext Attack of FEAL-4 and FEAL-6. CRYPTO 1991: 172—181

Ссылки

• Пример реализации FEAL-NX на языке C

1. ↑ Bert den Boer. Cryptanalysis of F.E.A.L. (англ.) // SpringerLink. — Springer Berlin Heidelberg, 1988-05-25. — P. 293–299. — ISBN 3540459618. — doi:10.1007/3-540-45961-8_27.
2. ↑ Mitsuru Matsui, Atsuhiro Yamagishi. A New Method for Known Plaintext Attack of FEAL Cipher (англ.) // SpringerLink. — Springer Berlin Heidelberg, 1992-05-24. — P. 81–91. — ISBN 3540475559. — doi:10.1007/3-540-47555-9_7.
3. ↑ Henri Gilbert, Guy Chassé. A Statistical Attack of the FEAL-8 Cryptosystem (англ.) // SpringerLink. — Springer Berlin Heidelberg, 1990-08-11. — P. 22–33. — ISBN 3540384243. — doi:10.1007/3-540-38424-3_2&token2=exp=1479924911~acl=/static/pdf/350/chp%253a10.1007%252f3-540-38424-3_2.pdf?originurl=http%3a%2f%2flink.springer.com%2fchapter%2f10.1007%2f3-540-38424-3_2*~hmac=8f021e4e3f1ff54f8b0f4712718f35cb6a958b57e642315e37a66bfb9ac73861.
4. ↑ Mitsuru Matsui, Atsuhiro Yamagishi. A New Method for Known Plaintext Attack of FEAL Cipher (англ.) // SpringerLink. — Springer Berlin Heidelberg, 1992-05-24. — P. 81–91. — ISBN 3540475559. — doi:10.1007/3-540-47555-9_7.
5. ↑ Eli Biham, Adi Shamir. Differential Cryptanalysis of Feal and N-Hash (англ.) // SpringerLink. — Springer Berlin Heidelberg, 1991-04-08. — P. 1–16. — ISBN 3540464166. — doi:10.1007/3-540-46416-6_1.
6. ↑ Kazuo Ohta, Shiho Moriai, Kazumaro Aoki. Improving the Search Algorithm for the Best Linear Expression // Proceedings of the 15th Annual International Cryptology Conference on Advances in Cryptology. — London, UK, UK: Springer-Verlag, 1995-01-01. — С. 157–170. — ISBN 3540602216.
7. ↑ Kazumaro Aoki, Kunio Kobayashi, Shiho Moriai. Best Differential Characteristic Search of FEAL // Proceedings of the 4th International Workshop on Fast Software Encryption. — London, UK, UK: Springer-Verlag, 1997-01-01. — С. 41–53. — ISBN 3540632476.

Для улучшения этой статьи желательно: Оформить статью по правилам. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.