Алгоритм SPEED

SPEED (Secure Package for Encrypting Electronic Data) — это алгоритм блочного симметричного шифрования, разработанный австралийским криптографом Чжэн Юляном^[англ.], работавшим в университете Монаша. Основные параметры: раунд, длина блока и длина ключа являются переменными, в этом алгоритм похож на более известный аналог RC5.

Шифрование по алгоритму SPEED состоит из двух этапов. Процедура расширения ключа и непосредственно шифрование. Для дешифрования выполняется сначала процедура расширения ключа, а затем операции, обратные процедуре шифрования.

Так как алгоритм SPEED имеет переменные параметры, то для спецификации алгоритма с конкретными параметрами принято указывать (W,L,R)^[1], где:

W — это размер блока шифруемых данных, который может принимать значения: 64, 128 и 256 бит соответственно.

L — это размер ключа, который принимает значение L диапазоне от 48 до 256 бит, которое кратно 16.

R — это количество раундов преобразований. Количество преобразований при этом должно быть не менее 32 и кратно 4.

SPEED, применяя ключ К длиной L бит, преобразует открытый текст M из W бит в зашифрованный С той же длины.

Криптографический ключ K, представляющий собой строку из L бит, сначала расширяется с помощью функции планирования ключей на четыре ключа K1, K2, K3 и К4. Каждый из этих ключей состоит из R цикловых ключей, где указано количество раундов в каждом проходе.

Открытый текст M представляется как 8 строк, ${\displaystyle {\tfrac {W}{8}}}$ бит каждый. Эти 8 строк обрабатываются в фазах P1, P2, P3 и P4 последовательно. Каждая фаза называется проходом и включает в себя ключи К1, К2, К3, К4 соответственно . На выходе мы получим зашифрованный текст С из открытого М.

Все 4 фазы внутреннего прохода P1, P2, P3, P4 работают одинаково, хотя в каждом проходе используется отдельный подключ К1, К2, К3, К4, а также разные нелинейные функции для побитовых логических операций. Ниже на рисунке представлены эти функции^[1]:

Фаза 1(P₁): F₁(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₃${\displaystyle \oplus }$X₅X₁${\displaystyle \oplus }$X₄X₂${\displaystyle \oplus }$X₁X₀${\displaystyle \oplus }$X₀

Фаза 2(P₂): F₂(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₄X₀${\displaystyle \oplus }$X₄X₃X₀${\displaystyle \oplus }$X₅X₂${\displaystyle \oplus }$X₄X₃${\displaystyle \oplus }$X₄X₁${\displaystyle \oplus }$X₃X₀${\displaystyle \oplus }$X₁

Фаза 3(P₃): F₃(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₅X₄X₀${\displaystyle \oplus }$X₆X₄${\displaystyle \oplus }$X₅X₂${\displaystyle \oplus }$X₃X₀${\displaystyle \oplus }$X₁X₀${\displaystyle \oplus }$X₃

Фаза 4(P₄): F₄(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₄X₂X₀${\displaystyle \oplus }$X₆X₅${\displaystyle \oplus }$X₄X₃${\displaystyle \oplus }$X₃X₂${\displaystyle \oplus }$X₁X₀${\displaystyle \oplus }$X₂

Ключ шифрования/дешифрования K для SPEED представляет собой двоичную строку из L бит, где L является целым числом от 48 до 256 и делится на 16. Функция планирования ключей состоит в том, чтобы «расширять» ключ K на R фрагментов циклового ключа, необходимых для R раундов обработки.

Основной блок данных в планировании ключей — это двухбайтовые данные. Таким образом, ${\displaystyle {\tfrac {L}{8}}}$ байтный ключ сначала переводится во внутренние ${\displaystyle {\tfrac {L}{16}}}$ двухбайтовые блоки данных kb₀,kb₁, …, kb_{${\displaystyle {\tfrac {L}{16}}}$-1}.

Также в процессе расширения ключа принимают переменные S₀, S₁, S₂. Их размер составляет также 2 байта. Их начальное значение равняется константам Q₀, Q₁, Q₂ соответственно, значение которых прямо зависит от размера ключа шифрования. Значения Q₀, Q₁, Q₂ получают из констант дробной части числа ${\displaystyle {\sqrt {15}}}$. Первые три константы из дробной части используются для случая L = 48, следующие три для L = 64 и так далее. Таким образом, в общей сложности 42 константы требуются для 14 различных длин ключей. Эти константы показаны ниже в шестнадцатеричной форме.

Алгоритм планирования ключей расширяет наш массив до kb_last-1, где last = ${\displaystyle {\tfrac {R}{2}}}$ при W = 64, last = R при W = 128, last = 2R при W = 256.

Дальнейший процесс расширения можно представить в виде нескольких шагов^[1]:

1. На переменные S₀, S₁, S₂ действует функция G, которая представляется собой побитовую операцию G(S₂, S₁, S₀) = S₂,S₁${\displaystyle \oplus }$S₁,S₀${\displaystyle \oplus }$S₀,S₂ (Здесь S_iS_j побитовое И, а S_i${\displaystyle \oplus }$S_j битовый XOR). Мы получаем T = G (S₀,S₁, S₂)
2. Полученный результат поворачивает вправо на 5 бит.
3. Далее T = T + S2 + kb[j] (mod 2¹⁶), где i=j (mod ${\displaystyle {\tfrac {L}{16}}}$).
4. Происходит сдвиг переменных S₀, S₁, S₂ и новое значение T становится значением переменной S₀: kb[i]=T S₂=S₁ S₁=S₀ S₀=T
5. Этот шаг переводит last двухбайтовые данные kb₀, kb₁, …, kb_last-1 в R цикловых ключей, каждый из которых состоит из ${\displaystyle {\tfrac {W}{8}}}$ бит. Перевод поддерживает порядок двухбайтовых данных.

Побитовая нелинейная логическая операция используется в каждом раунде. Чтобы усилить шифр против дифференциальной атаки на выходе операции применяется циклический сдвиг, зависящий от данных. Использование максимально нелинейной булевой функции в побитовой булевой операции помогло бы предотвратить линейную атаку^[2].

В качестве шифра с закрытым ключом SPEED использует один и тот же ключ как для шифрования, так и для дешифрования. Чтобы расшифровать зашифрованный текст C с помощью ключа K, происходит весь процесс работы алгоритма в обратном порядке, за исключением планирования ключей, который остается неизменным. Другими словами внутренние операции каждого P_i, где i = 1, 2, 3, 4, будут проводиться в обратном порядке^[1].

• Простой и компактный в реализации: при реализации алгоритма на языке программирования C его объём занимает всего около 3 килобайт.
• Алгоритм подвержен различным криптоатакам: дифференциальный криптоанализ и атака на связанные ключи.

Повышения криптоустойчивости можно добиться, увеличивая количество раундов, но это негативно влияет на производительность. Быстродействие алгоритма значительно падает, и становится в несколько раз меньше быстродействия аналогичного криптоустойчивого алгоритма RC5^[3].

• First International Conference, FC '97, Anguilla, British West Indies, February 24-28, 1997. Proceedings p.71-89
• Cryptanalysis of SPEED by Chris Hall , John Kelsey , Vincent Rijmen , Bruce Schneier , David Wagner
• SEBERRY,J., ZHANG,X. M., AND ZHENG,Y. Nonlinearity and propagation characteristics of balanced boolean functions. Information and Computation 119, 1 (1995).

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями.