Шифрование, сохраняющее формат
Шифрование, сохраняющее формат (англ. format-preserving encryption, FPE) означает шифрование, в котором выходные данные (шифротекст) находятся в таком же формате, что и входные данные (открытый текст). Значение слова «формат» варьируется. Обычно подразумеваются только конечные множества, например:
- Зашифровать 16-значный номер кредитной карты так, чтобы шифротекст был также 16-цифирным номером.
- Зашифровать английское слово так, чтобы шифротекст был тоже английским словом.
- Зашифровать n-битовый номер так, чтобы шифротекст был n-битовым номером. (Это определение n-битового блочного шифрования)
Для таких конечных множеств, и для обсуждаемого ниже, шифр эквивалентен перестановке N целых чисел {0, ... , N−1}, где N — размер области.
Зачем нужно FPE
[править | править код]Ограниченные длины поля или форматы
[править | править код]Первой причиной для использования FPE являются проблемы, связанные с использованием шифрования в существующих приложениях, с четко-заданными моделями данных. Типичный пример — номер кредитной карты, например 1234567812345670
(16 байт, только цифры).
Добавление шифрования в такие приложения может быть сложным, если модель данных должна быть изменена, так как это обычно включает изменения ограничения длины поля или типа данных. Например, результатом блочного шифрования номера кредитной карты будут выходные данные в шестнадцатеричной системе (0x96a45cbcf9c2a9425cde9e274948cb67
, 34 байта, шестнадцатеричные цифры) или типа Base64 (lqRcvPnCqUJc3p4nSUjLZw==
, 24 байта, буквенно-цифровое и специальные символы). Это нарушит любые существующее приложения, на входе которых ожидается 16-цифирный номер кредитной карты.
Помимо простых проблем форматирования, используя AES-128-CBC, этот номер кредитной карты может быть зашифрован в шестнадцатеричное значение 0xde015724b081ea7003de4593d792fd8b695b39e095c98f3a220ff43522a2df02
. В дополнение к проблеме, вызванной недопустимыми символами или увеличением размера, данные, зашифрованные с использованием CBC-режима, изменяют значение, когда они расшифровываются и зашифровываются снова. Это происходит потому, что random seed value (случайное начальное заполнение) которое используется для инициализации алгоритма шифрования и включено в качестве зашифрованного значения, отличается для каждой операции шифрования. Поэтому невозможно использовать данные, которые были зашифрованы с использованием режима CBC, в качестве уникального ключа для определения строки в базе данных.
FPE необходимо для упрощения процесса перехода путём сохранения форматирования и длины исходных данных, что позволяет сделать замену открытого текста его криптограммой в используемых приложениях.
Генерация псевдослучайных чисел
[править | править код]Шифрование, сохраняющее формат (FPE), способно генерировать уникальные и неповторимые числа. Главной целью FPE является шифрование файла таким образом, чтобы оба, исходный и зашифрованный файлы, были одного формата.
Например, если создана последовательность чисел от 11111 до 88888, тогда FPE берёт первое значение 11111 и зашифровывает его в другой 5-цифирный номер. Этот процесс продолжается до тех по, пока не будет считано последнее значение 88888. Все зашифрованные значения уникальны и случайны. Эти номера используются в качестве серийного ключа для продукта.
Сравнение с действительно случайными перестановками
[править | править код]Хотя действительно случайные перестановки являются идеальным FPE-шифром, для больших множеств неосуществимо предварительно генерировать и помнить действительно случайную перестановку. Итак, проблема FPE заключается в генерации псевдослучайной перестановки из секретного ключа таким образом, чтобы время вычисления для одного значения было мало (в идеальном случае постоянным, но самое главное — меньшим O(N)).
Сравнение с блочным шифрованием
[править | править код]N-битовое блочное шифрование (например, AES) технически является FPE на множестве {0, ..., 2n-1}. Если необходим FPE на одном из стандартных множеств (где n=128, 192, 256), то можно использовать блочное шифрование необходимого размера.
Однако, при стандартном использовании, блочное шифрование используется в режиме, который позволяет зашифровать сколь угодно длинные сообщения, и с использованием вектора инициализации, как обсуждалось выше. В этом режиме блочное шифрование не является FPE.
Определение безопасности для FPE
[править | править код]В литературе по криптографии (смотрите в ссылках ниже) степень «хорошести» FPE определяется тем, может ли злоумышленник отличить FPE от действительно случайной перестановки. Атакующие различаются в зависимости от того, имеют ли они доступ к oracle или им известна пара шифротекст/открытый текст.
Алгоритмы FPE
[править | править код]В большинстве подходов, упомянутых выше, хорошо известное блочное шифрование (такое как AES) используется как идеальная случайная функция.
В таком случае введение секретного ключа в алгоритм преимущественно легко. Дальше в тексте вместо AES может быть использован любой хороший блочный шифр.
FPE конструкции Блэка и Рогавэя
[править | править код]Реализация FPE, лежащего в основе блочного шифра, была впервые использована в работе криптографов Джона Блэка и Филлипа Рогавэя[англ.],[1] которая описывала 3 способа сделать это. Они доказали, что каждый из этих методов обладает такой же надёжностью, как и блочный шифр, который используется для их построения. Значит, противник, способный расшифровать FPE-алгоритм, может расшифровать и AES-алгоритм. Поэтому для надёжных AES-алгоритмов построенные на них FPE-алгоритмы также надёжны. Далее E обозначает операцию шифрования AES, который используется для построения FPE-алгоритма, а P — FPE.
FPE на основе prefix-шифра
[править | править код]Простой способ создания FPE-алгоритма на множестве {0,…,N-1} заключается в присваивании псевдослучайного веса каждому целому числу с последующей сортировкой по весу. Веса определяются применением существующего блочного шифра к каждому целому числу. Блэк и Роговэй называют этот метод «prefix cipher».
Так, чтобы создать FPE на множестве {0,1,2,3} с заданным ключом K, применяем AES(K) к каждому целому из нашего множества, например,
weight(0) = 0x56c644080098fc5570f2b329323dbf62
weight(1) = 0x08ee98c0d05e3dad3eb3d6236f23e7b7
weight(2) = 0x47d2e1bf72264fa01fb274465e56ba20
weight(3) = 0x077de40941c93774857961a8a772650d
Сортировка [0,1,2,3] по весу даёт [3,1,2,0], поэтому шифр выглядит так:
F(0) = 3
F(1) = 1
F(2) = 2
F(3) = 0
.
Этот метод используется только для малых значений N. Для больших значений размер таблицы перекодировки и необходимое количество кодировок для инициализации таблицы становится слишком большим.
FPE из cycle walking
[править | править код]Если есть набор M допустимых значений в пределах области псевдослучайных перестановок P (например, P может быть блочным шифром типа AES), алгоритм FPE может быть создан из блочного шифра путём неоднократного применения блочного шифра, пока результат не будет одним из допустимых значений (в пределах M).
CycleWalkingFPE(x) { if ''P''(x) is an element of ''M'' return ''P''(x) else return CycleWalkingFPE(''P''(x)) }
Цикл обязательно завершится. (Потому что P идёт один за другим и множество конечное, повторное применение P образует цикл, поэтому, начиная с точки в M, цикл прекратится в M.)
Преимущество этого метода заключается в том, что элементы множества M не должны отображаться в элементы последовательности {0,…,N-1} целых чисел. Недостатком является большое количество итераций для каждой операции, если M много меньше, чем множество P. Если P — блочный шифр заданного размера, например AES, то на M накладывается жёсткое ограничение, при котором этот метод эффективен.
Например, приложению необходимо зашифровать 100-битовое значение по алгоритму AES так, чтобы на выходе было другое 100-битовое значение. По этой методике AES-128-ECB шифрование может быть применено до тех пор, пока не достигнет значения с 28 старшими битами, равными 0, что займёт в среднем 228 итераций.
FPE на основе сети Фейстеля
[править | править код]Ещё один метод создания FPE алгоритма основан на использовании сети Фейстеля. Сеть Фейстеля нуждается в источнике псевдослучайных значений для ключей каждого раунда, и выход алгоритма AES может быть использован в качестве этих значений. Результирующая Фейстель конструкция надёжна, если использовано достаточное количество раундов.[2]
Один из способов реализации FPE-алгоритма на основе сети Фейстеля и AES заключается в использовании такого количества бит на выходе AES-алгоритма, которое было бы равно длине левой или правой половины сети Фейстеля. Например, если необходимо 24-битовое значение для ключа, то можно использовать последние 24 бита выхода AES-алгоритма.
Этот метод может и не сохранять формат, но можно повторно использовать сеть Фейстеля так же, как и cycle-walking метод до тех пор, пока формат не будет сохранён. Регулируя размер входных данных для сети Фейстеля, можно добиться быстрого завершения цикла. Например, есть 1016 (1016 = 253.1) возможных 16-цифирных номеров кредитной карты. Используя 54-битную широкую сеть Фейстеля и cycle-walking, возможно создать FPE-алгоритм, который шифрует достаточно быстро.
Другие FPE-конструкции
[править | править код]Несколько других FPE-конструкций основаны на добавлении различными методами выходных данных стандартного шифра по модулю n к данным, которые нужно зашифровать. Сложение по модулю n — достаточно очевидное решение проблемы FPE-шифрования.
8 секция FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard,[3] описывает способ использования DES-алгоритма шифрования, который сохраняет формат данных путём сложения по модулю n. Этот стандарт был удалён 19 мая 2005, так что метод считается устаревшим в терминах стандарта.
Другим методом шифрования, сохраняющего формат, была работа Питера Гутмана «Encrypting data with a restricted range of values»,[4] в которой был рассмотрен алгоритм, который также выполнял сложение по модулю n с некоторыми корректировками.
Работа «Using Datatype-Preserving Encryption to Enhance Data Warehouse Security»[5] Майкла Брайтвелла и Гарри Смита описывает способ использования DES-алгоритма шифрования, который сохраняет формат данных открытого текста. Этот метод не использует сложение по модулю n.
Работа «Format-Preserving Encryption»[6] Михира Беллара[англ.] и Томаса Ристенпарта описывает использование «почти сбалансированной» сети Фейстеля для создания безопасного FPE-алгоритма.
Работа «Format Controlling Encryption Using Datatype Preserving Encryption»[7] Ульфа Мэттссона описывает другие методы реализации FPE-алгоритма.
Примером FPE-алгоритма является FNR (Flexible Naor and Reingold).[8]
Принятие FPE-алгоритмов государственными стандартами
[править | править код]NIST опубликовал Special Publication 800-38G, DRAFT Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption.[9] Эта публикация определяет три метода FF1, FF2 и FF3. Подробная информация о них, а также патент и информация о тестовом наборе, может быть найдена на сайте NIST Block Cipher Modes Development.[10]
- FF1 — это FFX «Format-preserving Feistel-based Encryption Mode». Он был представлен на NIST Михиром Бэлларом из Калифорнийского университета в Сан-Диего, Филипом Рогэвэем из Калифорнийского университета, Дейвис, и Теренсом Спайсом из Voltage Security Inc. Тестовый набор предоставлен, и его части запатентованы.
- FF2 — это VAES3-схема для FFX: Дополнение к "The FFX Mode of Operation for Preserving Encryption. Он был представлен на NIST Йоахимом Вэнсом из VeriFone Systems Inc. Тестовый набор не предоставлен, в отличие от FF1, и его части запатентованы.
- FF3 — это BPS, названный по именам его авторов. Он был представлен на NIST Эриком Браером, Томасом Пайрином и Жаком Стерном из Ingenico, Франция. Тестовый набор не предоставлен и не запатентован.
Примечания
[править | править код]- ↑ John Black and Phillip Rogaway, Ciphers with Arbitrary Domains, Proceedings RSA-CT, 2002, pp. 114—130. http://citeseer.ist.psu.edu/old/black00ciphers.html Архивная копия от 16 декабря 2009 на Wayback Machine (http://www.cs.ucdavis.edu/~rogaway/papers/subset.pdf Архивная копия от 23 октября 2020 на Wayback Machine)
- ↑ Jacques Patarin, Luby-Rackoff: 7 Rounds Are Enough for 2n(1-epsilon) Security, Proceedings of CRYPTO 2003, Lecture Notes in Computer Science, Volume 2729, Oct 2003, pp. 513—529. http://www.iacr.org/archive/crypto2003/27290510/27290510.pdf Архивная копия от 3 марта 2016 на Wayback Machine; also Jaques Patrin: Security of Random Feistel Schemes with 5 or more Rounds. http://www.iacr.org/archive/crypto2004/31520105/Version%20courte%20Format%20Springer.pdf Архивная копия от 24 сентября 2015 на Wayback Machine
- ↑ FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard Архивированная копия . Дата обращения: 14 июня 2009. Архивировано 3 января 2014 года.
- ↑ Peter Gutmann, «Encrypting data with a restricted range of values», 23 January 1997, http://groups.google.com/group/sci.crypt/browse_thread/thread/6caf26496782e359/e576d7196b6cdb48 Архивная копия от 9 ноября 2012 на Wayback Machine
- ↑ Michael Brightwell and Harry Smith, "Using Datatype-Preserving Encryption to Enhance Data Warehouse Security, Proceedings of the 1997 National Information Systems Security Conference Архивированная копия . Дата обращения: 7 июля 2009. Архивировано 19 июля 2011 года.
- ↑ Mihir Bellare and Thomas Ristenpart, Format-Preserving Encryption http://eprint.iacr.org/2009/251 Архивная копия от 4 августа 2020 на Wayback Machine
- ↑ Ulf Mattsson, Format Controlling Encryption Using Datatype Preserving Encryption http://eprint.iacr.org/2009/257 Архивная копия от 3 февраля 2019 на Wayback Machine
- ↑ Sashank Dara, Scott Fluhrer. Flexible Naor and Reingold . Cisco Systems Inc. Дата обращения: 6 декабря 2015. Архивировано 16 октября 2014 года.
- ↑ Special Publication 800-38G, DRAFT Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption, Архивировано 4 декабря 2015, Дата обращения: 1 декабря 2015
- ↑ NIST Block Cipher Modes Development, Архивировано 2 апреля 2013, Дата обращения: 1 декабря 2015