Недостаточная длина ключа DES, его ориентированность на аппаратную реализацию. Требования к новому стандарту. Оптимизация по скорости выполнения кода. Алгоритмы пяти участников, прошедших в финал конкурса AES. Схемы входного и выходного перемешивания.
Аннотация к работе
Требования к новому стандарту были чрезвычайно просты: шифр должен быть блочным; шифр должен иметь длину блока, равную 128 битам; шифр должен поддерживать ключи длиной 128, 192 и 256 бит.К середине 1998 года свои разработки на конкурс представили 15 исследовательских групп . Все критерии, по которым производилось сравнение алгоритмов, были разбиты сотрудниками Института на две категории: криптографические и практические характеристики.Среди наиболее важных криптографических характеристик специалисты NIST указывали: стойкость к известным на момент проведения конкурса криптографическим атакам; максимально возможное упрощение алгоритма (в большинстве случаев - уменьшение количества раундов), при котором шифр все еще остается стойким к известным криптоатакам ; отсутствие слабых ключей; стойкость к криптоатакам , специфичным для применяемых в шифре схем и криптоопераций ; отсутствие корреляций между данными или ключом и временем, требуемым на операции шифрования/дешифрования; отсутствие корреляций между данными или ключом и мощностью, потребляемой аппаратным или программным устройством, реализующим шифр; отсутствие необоснованно сложных преобразований и "необъяснимых" констант (что дает некоторый шанс исключить недокументированные свойства шифра, известные только разработчикам); применение в структуре алгоритма традиционных криптосхем (парадигм) и частей уже опубликованных ранее алгоритмов, позволяющее принять во внимание результаты анализа этих схем за гораздо более длительный промежуток, чем год проведения конкурса.К наиболее важным практическим аспектам жюри отнесло: оптимизацию по скорости выполнения кода (в первую очередь, на 32-, 8 - и 16-разрядных архитектурах ЭВМ); активное использование для ускорения вычислений ресурсов оперативной памяти, если таковые имеются в наличии на исполняющем программу компьютере; возможность оптимизации по размеру кода (для хранения в ПЗУ "слабых "микросхем и в других запоминающих устройствах с ограниченными ресурсами); возможность распараллеливания кода (естественно, без потерь в криптостойкости ); идентичность кода и времени исполнения процедур шифрования и дешифрования ; сложность и затраты времени на процедуру создания материала ключа ; характер зависимости скорости работы алгоритма от размера используемого ключа (128, 192 или 256 бит).На первом этапе специалисты NIST отсеяли следующие 10 блочных шифров Претенденты AES , не прошедшие в финал конкурса Алгоритм Коллектив авторов(для компаний - страна расположения штабквартиры ) Наиболее существенные замечания CAST-256 Entrust Technologies, Inc. (Южная Корея ) Недостаточно стойкое к криптоатакам количество раундов DEAL R.Outerbridge , Lknudsen Невысокая производительность, неудачная схема использования 128-битных ключей относительно 192-битных DFC CNRS - Centre National pour la Recherche Scientifique (Франция ) Недостаточно стойкое к криптоатакам количество раундов, применение 64-битного умножения (что вызовет сложности при реализации на "слабых ”архитектурах и может привести к атакам по потребляемой мощности) Е2 NTT - Nippon Telegraph and Telephone Corporation (Япония ) Использование криптопримитивов , реализованных не на всех архитектурах ЭВМ, очень большой объем таблиц ПОДСТАНОВОКАЛГОРИТМ Коллектив авторов (для компаний - страна расположения штабквартиры) Наиболее существенные замечания FROG ТЕСАРГО Intemactonal S . A .(Коста-Рика) Наличие слабых ключей (вероятность - 2-30 ), высокие требования к оперативной памяти, очень медленный процесс расширения материала ключа НРС R.Schroeppel Наличие эквивалентных ключей, высокие требования к оперативной памяти, медленный процесс расширения материала ключа LOKI97 L. Brown, J.Pieprzyk, J.Seberry Высокие требования к оперативной памяти, возможность криптоатаки на ключ в случае перехвата 2 56 пар блоков "открытый зашифрованный текст" MAGENTA Deutsche Telekom AG (Германия) Использование криптопримитивов, реализованных не на всех архитектурах ЭВМ, возможность криптоатаки на ключ в случае зашифровки им 2 64 выбранных пар блоков "открытый/зашифрованный текст" SAFER Cylink Corporation (США) Использование криптопримитивов , реализованных не на всех архитектурах ЭВМ, возможность криптоатаки класса "встреча посередине"Алгоритмы пяти участников, прошедших в финал MARS RC6 Serpent TWOFISH RIJNADAELMARS : структура Алгоритм MARS разработан специалистами фирмы IBM . К недостаткам алгоритма MARS относятся: достаточно большой размер табличных подстановок (512 x 4=2048 байт), что может сказаться на реализации в системах с ограниченными ресурсами ПЗУ. процедура расширения ключа и 32-разрядное умножение также достаточно сложны для слабых микрочипов, подобных смарт-картам и контроллерам. изза применения умножения и сдвигов на переменное число бит шифр потенциально нестоек к атакам по потребляемой мощности и времени исполнения. алгоритм слабо поддается распараллеливанию.