Вопрос: Что означает аббревиатура NSA?
Ответ: No Such Agency — Такого Агентства Нет.
После этих обсуждений корпорация IBM уменьшила длину ключа со 128 бит до 56 бит и решила держать в секрете процедуру разработки стандарта DES. Многие полагали, что длина ключа была уменьшена, чтобы гарантировать, что NSA сможет взломать DES, но организациям с более низким финансированием это будет не по силам. Вероятно, цель засекречивания проекта состояла в сокрытии потайного хода, позволяющего Агентству национальной безопасности еще легче взламывать шифр DES. Когда сотрудник этого управления предложил Институту инженеров по электротехнике и электронике (IEEE) отменить планирующуюся конференцию по криптографии, ощущения комфорта это не прибавило. Агентство национальной безопасности всегда препятствовало всему.
В 1977 году ученые Стэнфордского университета, занимающиеся исследованиями в области криптографии, Диффи (Diffie) и Хеллман (Hellman), разработали машину для взлома кода DES и оценили стоимость ее создания в $20 млн. По небольшому участку открытого текста и соответствующего ему зашифрованному тексту эта машина путем полного перебора 256 вариантов за один день могла найти 56-разрядный ключ. На сегодняшний день такая машина уже существует, продается и стоит менее $10 000 (Kumar et al., 2006).
Тройное шифрование с помощью DES (Triple DES)
Уже в 1979 году корпорация IBM поняла, что ключ стандарта DES слишком короток, и разработала метод, позволяющий существенно увеличить его надежность с помощью тройного шифрования (Tuchman, 1979). Выбранный метод, ставший с тех пор Международным стандартом 8732, показан на рис. 8.7. Здесь используются два ключа и три этапа. На первом этапе открытый текст зашифровывается (блок Encryption на рисунке) обычным DES ключом K1. На втором этапе DES работает в режиме дешифрации (блок Decryption), используя ключ K2. Наконец, выполняется еще одна операция шифрования с ключом K1.
Рис. 8.7. Тройное шифрование с помощью DES (а); дешифрация (б)
Сразу возникает два вопроса. Во-первых, почему используются только два ключа, а не три? Во-вторых, почему используется последовательность операций EDE (Encrypt
Decrypt Encrypt — Шифрование Дешифрация Шифрование), а не EEE (Encrypt Encrypt Encrypt — Шифрование Шифрование Шифрование)? Причина использования всего двух ключей в том, что даже самые параноидальные криптографы в мире считают, что в настоящее время ключа длиной 112 бит вполне достаточно для коммерческих приложений (хотя в мире криптографии паранойя считается достоинством, а не болезнью). Переход на 168 разрядов повлечет лишь дополнительные расходы по хранению и транспортировке дополнительного ключа, а реальной пользы принесет мало.
Использование последовательности шифрования, дешифрации и снова шифрования объясняется обратной совместимостью с существующими DES-системами с одним ключом. Обе функции шифрования и дешифрации устанавливают соответствия между наборами 64-разрядных чисел. С точки зрения криптографии обе функции одинаково надежны. Однако использование EDE вместо EEE позволяет компьютеру, применяющему тройное шифрование, общаться с компьютером, применяющим обычное одиночное шифрование, просто установив K1 = K2. Таким образом, тройное шифрование можно легко включать в виде дополнительного режима работы, что не представляет интереса для ученых криптографов, но довольно важно для корпорации IBM и ее клиентов.
8.2.2. Улучшенный стандарт шифрования AES
В какой-то момент стало понятно, что ресурс DES (даже с тройным шифрованием) уже приближается к концу. Тогда Национальный институт стандартов и технологий (NIST — National Institute of Standards and Technology) — агентство Министерства торговли, занимающееся разработкой стандартов для Федерального правительства США, — решило, что правительству нужен новый криптографический стандарт для несекретных данных. NIST ясно осознавал все противоречия, связанные с DES, и прекрасно понимал, что как только будет объявлено о создании нового стандарта, все, кто хоть что-то смыслит в криптографической политике, по умолчанию будут предполагать, что и здесь имеется лазейка, с помощью которой Агентство национальной безопасности с легкостью сможет расшифровывать любую информацию. На таких условиях вряд ли кто-то согласится применять у себя новую технологию, и она, скорее всего, так и умрет в безвестности.
Исходя из этих предпосылок, NIST применил неожиданный для правительственного бюрократического аппарата подход: он решил просто спонсировать криптографический конкурс. В январе 1997 года ученые со всего мира были приглашены для представления своих разработок, касающихся нового стандарта, который назвали AES (Advanced Encryption Standard — улучшенный стандарт шифрования). Требования, предъявляемые к разработкам, были таковы:
1. Алгоритм должен использовать симметричный блочный шифр.
2. Все детали разработки должны быть общедоступны.
3. Должны поддерживаться длины ключей 128, 192 и 256 бит.
4. Должна быть возможна как программная, так и аппаратная реализация.
5. Алгоритм должен быть общедоступным или базирующимся на не дискредитировавших себя понятиях.
Было рассмотрено 15 серьезных предложений. На общедоступных конференциях разработчики представляли свои проекты, а оппоненты должны были приложить максимум усилий для поиска возможных недостатков в каждом из проектов. В августе 1998 года институтом стандартов и технологий были выбраны пятеро финалистов. Выбор основывался в основном на таких аспектах, как обеспечиваемая безопасность, эффективность, простота, гибкость, а также требования к памяти (это важно для встроенных систем). Был проведен еще ряд конференций, на которых было высказано множество критических замечаний.
В октябре 2000 года NIST объявил о том, что он выбрал Rijndael Джона Домена и Винсента Раймена. Название Rijndael (произносится примерно как Райн-дол) представляет собой сокращение двух фамилий авторов: Раймен + Домен. В ноябре 2001 года Rijndael становится стандартом правительства США, опубликованным как Федеральный стандарт обработки информации, FIPS 197. Благодаря полной открытости конкурса, а также техническим возможностям Rijndael и тому факту, что выигравшая конкурс команда состояла из двух молодых бельгийских криптографов (которые вряд ли стали бы сотрудничать с NSA, предоставляя какие-то лазейки), Rijndael стал доминирующим мировым криптографическим стандартом. AES в настоящее время является частью набора инструкций для некоторых микропроцессоров (например, Intel).
Rhindael поддерживает длины ключей и размеры блоков от 128 до 256 бит с шагом в 32 бита. Длины ключей и блоков могут выбираться независимо друг от друга. Тем не менее стандарт AES говорит о том, что размер блока должен быть равен 128 битам, а длина ключа — 128, 192 или 256 бит. Однако вряд ли кто-то будет использовать 192-битные ключи, поэтому фактически AES применяется в двух вариантах: со 128-битными блоками и 128-битными ключами, а также со 128-битными блоками и 256-битными ключами.
Ниже приводится описание алгоритма, и там мы рассматриваем только один случай — 128/128, поскольку именно это, скорее всего, станет нормой для коммерческих приложений. 128-битный ключ означает, что размер пространства его значений равен 2128 = 3 х 1038. Даже если Агентству национальной безопасности удастся собрать машину из миллиона параллельных процессоров, каждый из которых будет способен вычислять один ключ в пикосекунду, на перебор всех значений потребуется около 1010 лет. К тому времени солнце уже давно потухнет, и нашим далеким потомкам придется читать распечатку со значением ключа при свете свечи.
Rijndael
С математической точки зрения, метод Rijndael основывается на теории полей Галуа, благодаря чему можно строго доказать некоторые его свойства, касающиеся секретности. Тем не менее можно рассматривать его и с точки зрения кода программы на языке С, не вдаваясь в математические подробности.
