Восток Маркетинг


Статьи

WikiZero - Блочний шифр

  1. Ітеративні блокові шифри [ правити | правити код ]
  2. SP-мережі [ правити | правити код ]
  3. Мережа Фейстеля [ правити | правити код ]
  4. Формування групи [ правити | правити код ]
  5. Шифрування незалежними блоками [ правити | правити код ]
  6. Шифрування, залежне від попередніх блоків [ правити | правити код ]
  7. Доповнення до цілого блоку [ правити | правити код ]
  8. Атака повним перебором [ правити | правити код ]
  9. Диференціальний криптоаналіз [ правити | правити код ]
  10. Лінійний криптоаналіз [ правити | правити код ]
  11. Інтегральний кріптоаналіз [ правити | правити код ]
  12. Інші типи атак [ правити | правити код ]
  13. Lucifer / DES [ правити | правити код ]
  14. ГОСТ 28147-89 [ правити | правити код ]
  15. AES / Rijndael [ правити | правити код ]
  16. Зв'язок з іншими криптографічними примітивами [ правити | правити код ]

open wikipedia design.

Блоковий шифр - різновид симетричного шифру [1] , Яка оперує групами біт фіксованої довжини - блоками, характерний розмір яких змінюється в межах 64-256 біт. Якщо вихідний текст (або його залишок) менше розміру блоку, перед шифруванням його доповнюють. Фактично, блоковий шифр являє собою підстановку на алфавіті блоків, яка, як наслідок, може бути моно- або поліалфавітних. [2] Блоковий шифр є важливою компонентою багатьох криптографічних протоколів і широко використовується для захисту даних, що передаються по мережі.

На відміну від шифроблокнота , Де довжина ключа дорівнює довжині повідомлення, блоковий шифр здатний зашифрувати одним ключем одне або кілька повідомлень сумарною довжиною більше, ніж довжина ключа. Передача малого в порівнянні з повідомленням ключа по зашифрованому каналу - завдання значно простіша і швидша, ніж передача самого повідомлення або ключа такої ж довжини, що робить можливим його повсякденне використання. Однак, при цьому шифр перестає бути невзламиваемим. від потокових шифрів робота блочного відрізняється обробкою біт групами, а не потоком. При цьому блокові шифри надійніше, але повільніше поточних. [3] Симетричні системи мають перевагу над асиметричними в швидкості шифрування, що дозволяє їм залишатися актуальними, незважаючи на більш слабкий механізм передачі ключа (одержувач повинен знати секретний ключ, який необхідно передати по вже налагодженій зашифрованому каналу. У той же час, в асиметричних шифри відкритий ключ, необхідний для шифрування, можуть знати все, і немає необхідності в передачі ключа шифрування).

До переваг блокових шифрів відносять схожість процедур шифрування і розшифрування , Які, як правило, відрізняються лише порядком дій. Це спрощує створення пристроїв шифрування, так як дозволяє використовувати одні і ті ж блоки в ланцюгах шифрування і розшифрування. Гнучкість блокових шифрів дозволяє використовувати їх для побудови інших криптографічних примітивів: генератора псевдослучайной послідовності , поточного шифру , имитовставки і криптографічних хеш-кодувань . [4]

Сучасна модель блокових шифрів заснована на ідеї ітеративних блокових шифрів, запропонованої в публікації 1949 року Клода Шеннона « Теорія зв'язку в секретних системах ». Дана концепція дозволяє досягти певного рівня безпеки комбінуванням простих у виконанні операцій підстановки ( англ. substitution) і перестановки ( англ. permutation) [5] .

До 1970-х рр. криптографія була долею військових і розвідників, у відкритій пресі практично не існувало будь-яких публікацій [6] . Першопрохідцем з'явився шифр «Люцифер» , Розроблений в 1970 році компанією IBM і заснований на SP-мережі . Ідея шифру полягала у використанні комбінацій простих, а отже, швидко обчислюваних як апаратно, так і програмно операцій. Однак, схема вийшла невдалою: вона була занадто громіздкою, що призвело до низької швидкості шифрування в програмній реалізації (близько 8 кбайт / с) і в апаратної (97 кбайт / с).

Стали з'являтися побоювання, пов'язані зі стійкістю даного алгоритму. Проте, принципи, вироблені при побудові «Люцифера», (SP-мережа та мережу Фейстеля , Названа так на честь одного з розробників) лягли в основу конструювання блокових шифрів.

У 1973 році Національний інститут стандартів і технологій ( англ. NIST) оголосив конкурс з метою розробити стандарт шифрування даних, переможцем якого в 1974 році став шифр DES (Data Encryption Standard), що є, фактично, покращеною версією «Люцифер». Публікація шифру в 1977 році була основоположною в суспільному розумінні сучасної моделі блочного шифру. У той же час, вона дала початок розвитку криптоаналітичних атак .

Після схвалення Американським національним інститутом стандартів в 1981 році, алгоритм довгий час використовувався в цивільному секторі і навіть вийшов за межі США. Однак шифр мав істотний недолік - маленьку довжину ключа, породила безліч пов'язаних з паралельним перебором атак, і наближається можливість її реалізації. Відсутність гідного захисту від атак шифру DES породило безліч алгоритмів, які є як більш складної версією DES ( 3DES ), Так і зовсім інших схем ( NewDES , FEAL , IDEA ).

У 1997 році став роком початку програми по прийняттю AES (Advanced Encryption Standard). Конкурс складався з трьох етапів, остаточним переможцем якого став алгоритм RIJNDAEL , Розроблений бельгійцями J. Daemen і V. Rijmen. AES, як і його попередники, також побудований з використанням SP-мережі.

На сьогоднішній день існує безліч атак, яким змушений протистояти блоковий шифр, починаючи з атаки перебором , Як самої тривіальної. [7]

Блоковий шифр складається з двох парних алгоритмів: шифрування і розшифрування . [8] Обидва алгоритми можна представити у вигляді функцій. Функція шифрування E ( англ. encryption - шифрування) на вхід отримує блок даних M ( англ. message - повідомлення) розміром n біт і ключ K ( англ. key - ключ) розміром k біт і на виході віддає блок шифротекста C ( англ. cipher - шифр) розміром n біт:

E K (M): = E (K, M): {0, 1} k × {0, 1} n → {0, 1} n. {\ Displaystyle E_ {K} (M): = E (K, M): \ {0,1 \} ^ {k} \ times \ {0,1 \} ^ {n} \ to \ {0,1 \} ^ {n}.} E K (M): = E (K, M): {0, 1} k × {0, 1} n → {0, 1} n

Для будь-якого ключа K, EK є биективное функцією ( перестановкою ) На безлічі n -бітний блоків. Функція розшифрування D ( англ. decryption - розшифрування) на вхід отримує шифр C, ключ K і на виході віддає M:

DK (C): = D (K, C): {0, 1} k × {0, 1} n → {0, 1} n, {\ displaystyle D_ {K} (C): = D (K, C): \ {0,1 \} ^ {k} \ times \ {0,1 \} ^ {n} \ to \ {0,1 \} ^ {n},} DK (C): = D (K, C): {0, 1} k × {0, 1} n → {0, 1} n, {\ displaystyle D_ {K} (C): = D (K, C): \ {0,1 \} ^ {k} \ times \ {0,1 \} ^ {n} \ to \ {0,1 \} ^ {n},}

будучи, при цьому, зворотної до функції шифрування:

D = E - 1, {\ displaystyle D = E ^ {- 1},} D = E - 1, {\ displaystyle D = E ^ {- 1},} ∀ K: D K (E K (M)) = M {\ displaystyle \ forall K: D_ {K} (E_ {K} (M)) = M} і E K (D K (C)) = C ∀ K: D K (E K (M)) = M {\ displaystyle \ forall K: D_ {K} (E_ {K} (M)) = M} і E K (D K (C)) = C. {\ Displaystyle E_ {K} (D_ {K} (C)) = C.}

Зауважимо, що ключ, необхідний для шифрування і дешифрування, один і той же - наслідок симетричності блочного шифру.

Піонерами в розробці блокових шифрів стали співробітники компанії IBM при роботі над шифром « Lucifer ». [9] Вони спроектували перші основи, які стали використовуватися при розробці наступних схем. При цьому слід враховувати, що новий шифр повинен бути не тільки стійким до всіх відомих видів атак, але і досить простий в реалізації.

Ітеративні блокові шифри [ правити | правити код ]

Більшість блочних шифрів є ітеративними. Це означає, що даний шифр перетворює блоки відкритого тексту ( англ. plaintext) постійної довжини в блоки шифротекста ( англ. ciphertext) тієї ж довжини за допомогою циклічно повторюваних оборотних функцій, відомих як раундові функції. [10] Це пов'язано з простотою і швидкістю виконання як програмних, так і апаратних реалізацій. Зазвичай раундові функції використовують різні ключі, отримані з початкового ключа:

C i = R K i (C i - 1) {\ displaystyle C_ {i} = R_ {K_ {i}} (C_ {i-1})} C i = R K i (C i - 1) {\ displaystyle C_ {i} = R_ {K_ {i}} (C_ {i-1})} , ,

де Ci - значення блоку після i-го раунду, C0 = M - відкритий текст, Ki - ключ, який використовується в i-му раунді і отриманий з початкового ключа K.

Розмір блоку n - це фіксований параметр блокового шифру, зазвичай рівний 64 або 128 бітів, хоча деякі шифри допускають кілька різних значень. Довжина 64 біта була прийнятна до середини 90-х років, потім використовувалася довжина 128 біт, що приблизно відповідає розміру машинного слова і дозволяє ефективну реалізацію на більшості поширених обчислювальних платформ. Різні схеми шифрування дозволяють зашифровувати відкритий текст довільної довжини. Кожна має певні характеристики: ймовірність помилки, простота доступу, вразливість до атак. Станом на 2006 рік 80-бітний ключ здатний був запобігти атаку грубою силою .

SP-мережі [ правити | правити код ]

SP-мережа ( англ. substitution-permutation network, SPN) - один з найважливіших типів ітеративних блокових шифрів. Шифр на основі SP-мережі отримує на вхід блок і ключ і робить кілька чергуються раундів, що складаються з чергуються стадій підстановки ( англ. substitution stage) і стадій перестановки ( англ. permutation stage) [11] . Для досягнення безпеки досить одного S-блоку, але такий блок буде вимагати великого обсягу пам'яті. Тому використовуються маленькі S-блоки, змішані з P-блоками [6] . Нелінійна стадія підстановки перемішує біти ключа з битами відкритого тексту, створюючи конфуз [En] Шеннона . Лінійна стадія перестановки розподіляє надмірність по всій структурі даних, породжуючи дифузію [12] [13] .

S-блок ( англ. substitution box or S-box) заміщає маленький блок вхідних біт на інший блок вихідних біт. Ця заміна повинна бути взаємно однозначною, щоб гарантувати оборотність. Призначення S-блоку полягає в нелінійному перетворенні, що перешкоджає проведенню лінійного криптоаналізу . Одним з властивостей S-блоку є лавинний ефект , Тобто зміна одного біта на вході призводить до зміни всіх біт на виході [14] .

P-блок [En] - перестановка всіх біт: блок отримує на вхід висновок S-блоку, змінює місцями все біти і подає результат S-блоку наступного раунду. Важливим якістю P-блоку є можливість розподілити висновок одного S-блоку між входами якомога більших S-блоків.

Для кожного раунду використовується свій, одержуваний з початкового, ключ . Подібний ключ називається раундовим. Він може бути отриманий діленням початкового ключа на рівні частини, так і будь-яким перетворення всього ключа.

Мережа Фейстеля [ правити | правити код ]

Мережа Фейстеля - це загальний метод перетворення довільної функції F в перестановку на безлічі блоків. [15] Вона складається з циклічно повторюваних осередків - раундів. Усередині кожного раунду блок відкритого тексту поділяється на дві рівні частини. раундова функція

F = F (K i, R i - 1) {\ displaystyle F = F (K_ {i}, R_ {i-1})} F = F (K i, R i - 1) {\ displaystyle F = F (K_ {i}, R_ {i-1})}

бере одну половину (на рис. ліву), перетворює її з використанням ключа Ki і об'єднує результат з другою половиною допомогою операції виключає АБО (XOR). Цей ключ задається початковим ключем K і різний для кожного раунду. Далі половинки міняються місцями (інакше буде перетворюватися тільки одна половина блоку) і подаються на наступний раунд. Перетворення мережі Фейстеля є оборотною операцією.

Для функції F існують певні вимоги:

  • її робота повинна приводити до лавинному ефекту
  • повинна бути нелінійна по відношенню до операції XOR

У разі невиконання першого вимоги, мережа буде схильна до диференціальним атакам (Схожі повідомлення будуть мати схожі шифри). У другому випадку дії шифру лінійні і для злому достатньо рішення системи лінійних рівнянь [3]

Подібна конструкція має істотну перевагу: процедури шифрування / розшифрування збігаються, тільки похідні від початкового ключі використовуються в зворотному порядку. Це означає, що одні й ті ж блоки можуть використовуватися як для шифрування, так і для розшифрування, що, безумовно, спрощує реалізацію шифру. Недолік схеми полягає в тому, що в кожному раунді обробляється тільки половина блоку, що призводить до необхідності збільшувати число раундів. [2]

Формування групи [ правити | правити код ]

При побудові алгоритму враховують формування групи , В якій елементами є безліч блоків шифротекста при всіх ключах, а груповий операцією - композиція раундів шифрування. Якщо даний шифр утворює практично повну групу, не має сенсу застосовувати кратне шифрування [6] .

Сам по собі блоковий шифр дозволяє шифрувати тільки поодинокі блоки даних зумовленої довжини. Якщо довжина повідомлення менше довжини блоку ( англ. blocklength), то воно доповнюється до потрібної довжини. Однак, якщо довжина повідомлення більше, виникає необхідність його поділу на блоки. При цьому існують кілька способів шифрування таких повідомлень, звані режимами роботи блочного шифру.

Шифрування незалежними блоками [ правити | правити код ]

Найпростішим режимом роботи блочного шифру є режим електронної кодової книги або режим простої заміни ( англ. Electronic CodeBook, ECB), де всі блоки відкритого тексту зашифровуються незалежно один від одного. Однак, при використанні цього режиму статистичні властивості відкритих даних частково зберігаються, так як кожному однаковому блоку даних однозначно відповідає зашифрований блок даних. При великій кількості даних (наприклад, відео або звук) це може призвести до витоку інформації про їх зміст і дати більший простір для криптоанализа .

Видалення статистичних залежностей у відкритому тексті можливо за допомогою попереднього архівування, але воно не вирішує завдання повністю, так як в файлі залишається службова інформація архиватора , Що не завжди допустимо.

Шифрування, залежне від попередніх блоків [ правити | правити код ]

Щоб подолати ці проблеми, були розроблені інші режими роботи [16] [17] , Встановлені міжнародним стандартом ISO / IEC 10116 [18] і певні національними рекомендаціями, такі, як NIST 800-38A [19] і BSI TR-02102 [20]

Загальна ідея полягає в використанні випадкового числа, який часто називають вектором ініціалізації [En] (IV). У популярному режимі зчеплення блоків ( англ. Cipher Block Chaining, CBC) для безпеки IV повинен бути випадковим або псевдовипадковим. Після його визначення, він складається за допомогою операції виключає АБО з першим блоком відкритого тексту. Наступним кроком шифрується результат і виходить перший шіфроблок, який використовуємо як IV для другого блоку і так далі. В режимі зворотного зв'язку по шіфротекста ( англ. Cipher Feedback, CFB) безпосереднього шифрування піддається IV, після чого складається по модулю два (XOR, що виключає АБО) з першим блоком. Отриманий шіфроблок використовується як IV для подальшого шифрування. У режиму немає особливих переваг в порівнянні з іншими. На відміну від попередніх режимів, режим зворотного зв'язку виведення ( англ. Output Feedback, OFB) циклічно шифрує IV, формуючи потік ключів, що складаються з блоками повідомлення. Перевагою режиму є повний збіг операцій шифрування і розшифрування. режим лічильника ( англ. Counter, CTR) схожий на OFB, але дозволяє вести паралельне обчислення шифру: IV об'єднується з номером блоку без одиниці і результат шифрується. Отриманий блок складається з відповідним блоком повідомлення.

Слід пам'ятати, що вектор ініціалізації повинен бути різним у різних сеансах. В іншому випадку приходимо до проблеми режиму ECB. Можна використовувати випадкове число, але для цього потрібно досить хороший генератор випадкових чисел. Тому зазвичай задають деяке число - мітку, відому обом сторонам (наприклад, номер сеансу) і зване nonce ( англ. Number Used Once - одноразово використовується число). Секретність цього числа зазвичай не потрібно. Далі IV - результат шифрування nonce. У разі режиму лічильника, nonce використовується для формування раундового ключа Ki [3] :

K i = E K (n o n c e | | i - 1), i = 1,. . , N, {\ displaystyle K_ {i} = E_ {K} (nonce || i-1), i = 1, .., n,} K i = E K (n o n c e | | i - 1), i = 1, де i - номер раунду.

Доповнення до цілого блоку [ правити | правити код ]

Як уже згадувалося вище, в разі, якщо довжина самого повідомлення, або останнього блоку, менше довжини блоку, то він потребує доповненні . Просте додаток нульовими бітами не вирішує проблеми, тому що одержувач не зможе знайти кінець корисних даних. До того ж, такий варіант призводить до атакам Оракула доповнення [En] [21] .

Тому на практиці застосовується рішення, стандартизоване як «Метод доповнення 2» ( доповнення битами ) В ISO / IEC 9797-1, додає одиничний біт в кінець повідомлення і заповнює місце, що залишилося нулями [22] . В цьому випадку була доведена стійкість до подібних атак [23] .

Як і всі шифри, алгоритми яких відомі, блокові шифри піддаються криптографічним атакам. Мета атаки - розробити алгоритм злому більш ефективний, ніж повний перебір всіх можливих ключів. У разі знаходження такого рішення, атака вважається успішною. При цьому шифр є зламаним, якщо існують атака, що дозволяє провести злом за час, протягом якого інформація зберігає актуальність, і проведення подібної атаки вигідно зловмисникові.

Атака повним перебором [ правити | правити код ]

англ. Вrute force attack. Завдяки такій характеристиці блочного шифру, як оборотність функції, його висновок стає відмінним від істинної випадкової послідовності внаслідок парадоксу днів народження . Ця особливість призводить до зниження безпеки шифру і необхідності брати до уваги розмір блоку. Таким чином, існує компроміс між великими, що знижують продуктивність шифру, і ненадійними маленькими блоками [24] .

Не менш важливу роль відіграє розмір ключа. ранній шифр DES характеризувався розміром ключа в 56 біт, що, як показала практика, явно не достатньо для надійної пересилання даних. Саме атакою повним перебором вперше був розкритий DES. Більш сучасні алгоритми, такі як AES і ГОСТ 28147-89 мають розмір ключа в 128 біт і 256 біт відповідно, що робить безглуздим подібні атаки [25] .

Диференціальний криптоаналіз [ правити | правити код ]

англ. Differential cryptanalysis. У 1990 році Елі Біхам (Eli Biham) і Аді Шамір (Adi Shamir) визначили ідею диференціального криптоаналізу. За допомогою цього методу вдалося зламати шифр DES . Подібної атаці піддаються шифри з постійним S-блоком і шифрування в режимі кодової електронної книги . Даний метод працює з парами шіфротекста, для яких відомо відмінність відповідних відкритих текстів, і розглядає еволюцію цих відмінностей. Поряд з лінійним є найпоширенішим при атаках на блоковий шифр [6] .

Лінійний криптоаналіз [ правити | правити код ]

англ. Linear cryptanalysis. Лінійний криптоаналіз - метод розтину шифру, заснований на пошуку афінних наближень для роботи алгоритму. Розроблено японським математиком Міцуру Мацуї [En] , Першим застосував цю техніку для атаки на DES і FEAL . Метод заснований на застосуванні операції виключає АБО (XOR) до блокам відкритого тексту, шифротекста і до їх результату, що дозволяє отримати результат застосування XOR для бітів ключа. Структура S-блоку впливає на стійкість до лінійним атакам. Коли метод був розроблений, виявилося, що DES має слабкість до нього, так як ніхто не припускав подібних атак при його розробці [6] .

Інтегральний кріптоаналіз [ правити | правити код ]

англ. Intergal cryptanalysis. Інтегральний криптоаналіз - вид атак, особливо застосовний до блоковий шифрів, побудованим на SP-мережі. На відміну від диференціального криптоаналізу, що використовує пару обраного відкритого тексту з фіксованим різницею, обчисленої за допомогою операції XOR, інтегральний криптоаналіз використовує безлічі відкритих текстів, в яких одні частини утримуються постійними, в той час як інші варіюються серед всіляких значень. Подібне безліч з необхідністю має суму по модулю 2 (XOR), що дорівнює 0, в той час, як відповідна сума шифротекста містить інформацію про операції шифру.

Інші типи атак [ правити | правити код ]

Крім описаних вище, існують інші типи атак:

Будь-який новий шифр повинен продемонструвати стійкість до всіх відомих видів атак.

На практиці блоковий шифр оцінюють по безлічі критеріїв [26] [27] :

  • Параметри ключа: його довжина і довжина блоку, що забезпечують верхню межу безпеки шифру.
  • Оцінка рівня безпеки, заснована на досягнутої в блоковому шифрі конфіденційності та отримана після того, як шифр витримає значне число спроб криптоанализа протягом часу; стійкість математичної моделі і існування практичних способів атак.
  • Складність шифру і придатності до програмної або апаратної реалізації. У разі апаратної реалізації складність шифру може бути оцінена в числі використаних вентилів або енергоспоживанні. Ці параметри важливі для пристроїв, обмежених в ресурсах.
  • Продуктивність шифру, виражена в пропускної здатності шифру на різних платформах і споживаної пам'яті.
  • Вартість шифру, яка може бути обумовлена ​​ліцензійними вимогами відповідно до інтелектуальною власністю .
  • Гнучкість шифру, пов'язана зі здатністю підтримувати безліч довжин ключів і блоків.

Lucifer / DES [ правити | правити код ]

Шифр Lucifer в цілому розглядається як перший блочного шифру. Алгоритм розроблений компанією IBM в 1970-х роках для власних потреб і заснований на роботі Хорста Фейстеля ( англ. Horst Feistel). Допрацьована версія була прийнята як американський урядовий федеральний стандарт обробки інформації : FIPS PUB 46 Data Encryption Standard (DES) - стандарт шифрування даних.

DES має розмір блоку 64 біта і ключ 56 біт. Згодом 64-бітові блоки стали загальноприйнятими при побудові шифру. Довжина ключа залежала від декількох факторів, у тому числі від урядових обмежень, і в результаті стала очевидним недоліком алгоритму - її виявилося недостатньо, щоб протистояти атакам повним перебором. У 1993 році Майкл Вінер спроектував машину вартістю 1 мільйон доларів, здатну зламати DES за 3,5 години грубою силою , І в 1998 році авто [En] , Здатна до злому, була побудована. До того ж, для ключів алгоритму існує ряд значень, які вважаються слабкими [6] .

Існує поліпшена версія алгоритму, звана Triple DES або 3DES. Швидкість алгоритму знизилася тричі, але система виявилася значно більш стійка до повного перебору за рахунок потроєною довжини ключа (168 біт і 112 секретних біт). Опціонально можна вибрати подвоєний ключ (112 біт і 80 секретних біт). Станом на 2011 рік трехключевая система зберігає свою безпеку, проте двуключевая версія з 80-бітовим рівнем безпеки більше не задовольняє сучасним вимогам [28] .

ГОСТ 28147-89 [ правити | правити код ]

ГОСТ 28147-89 - російський стандарт шифрування, введений в 1990 році, також є стандартом СНД. Шифр заснований на 32-раундової мережі Фейстеля c 256-бітовим ключем. У травні 2011 року криптоаналітиків Ніколя Куртуа була зроблена спроба атаки, яка б знизила час злому в 28 (256) раз, але вимагає 264 пар відкритого / шифрованого тексту, що не може розглядатися як успішна атака, так як при наявності такої кількості відкритого тексту немає необхідності в знанні шифротекста. [29] [30]

Через наявність великої кількості раундів, атаки на основі диференціального та лінійного криптоаналізу не спроможні, тому що останні чутливі до числа раундів. повний перебір при такій довжині ключа повністю позбавлений сенсу. для Досягнення лавинного ефекту ГОСТу потрібно 8 раундів, що може бути слабкістю алгоритму, але при 32 раундах це не має такого сильного значення. Питання про безпеку ГОСТу залишається відкритим [6] .

AES / Rijndael [ правити | правити код ]

AES, прийнятий NIST в 2001 році після 5-річного громадського конкурсу, замінив собою шифр DES як федеральний стандарт сполучених штатів. Шифр розроблений двома бельгійськими криптографами Дайменом Йоаном и Рейменом Вінсентом . Розмір блоку складає 128 біт і розмір ключа 128, 192 і 256 біт, незважаючи на те, що розмір блоку може бути визначений будь-яким числом біт, кратним 32, з мінімальним значенням 128 біт. Максимальний розмір блоку дорівнює 256 біт, при цьому розмір ключа не має теоретичної межі. Підтримка даного шифру введена компанією Intel в сімейство процесорів x86.

Зв'язок з іншими криптографічними примітивами [ правити | правити код ]

Блоковий шифр може бути використаний для побудови інших криптографічних примітивів [En] * :

  1. Шнайер, 2002 , Типи алгоритмів і криптографічні режими.
  2. 1 2 Баричев, Гончаров, Сєров, 2011 .
  3. 1 2 3 Габідулін, Кшевецкій, Колибельніков, 2011 .
  4. Block Ciphers - Introduction and overview - http://cacr.uwaterloo.ca/hac/about/chap7.pdf
  5. Shannon C. Communication Theory of Secrecy Systems // Bell Syst. Tech. J. - Short Hills, NJ, etc : 1949. - Vol. 28, Iss. 4. - P. 656-715. - ISSN 0005-8580 - doi: 10.1002 / J.1538-7305.1949.TB00928.X
  6. 1 2 3 4 5 6 7 Шнайер, 2002 .
  7. Фомічов, 2003 .
  8. Cryptographic Boolean functions and applications . - Academic Press, 2009. - P. 158-159. - ISBN 9780123748904 .
  9. Шнайер, 2002 , Стандарт шірованія DES.
  10. Junod, Pascal & Canteaut, Anne. Advanced Linear Cryptanalysis of Block and Stream Ciphers . - IOS Press, 2011. - P. 2. - ISBN 9781607508441 .
  11. Modeling Linear Characteristics of Substitution-Permutation Networks // Selected areas in cryptography: 6th annual international workshop, SAC'99, Kingston, Ontario, Canada, August 9-10, 1999: proceedings . - Springer, 2000. - P. 79. - ISBN 9783540671855 .
  12. Dial 'C' for Cipher // Selected areas in cryptography: 13th international workshop, SAC 2006, Montreal, Canada, August 17-18, 2006: revised selected papers . - Springer, 2007. - P. 77. - ISBN 9783540744610 .
  13. Cryptographic Boolean functions and applications . - Academic Press, 2009. - P. 164. - ISBN 9780123748904 .
  14. Katz, Jonathan. Introduction to modern cryptography / Jonathan Katz, Yehuda Lindell. - CRC Press, 2008. - ISBN 9781584885511 . , Pages 166-167.
  15. Баричев, Гончаров, Сєров, 2011 , С. 21.
  16. Block Cipher Modes (неопр.). NIST Computer Security Resource Center. Читальний зал 19 листопада 2012 року.
  17. Menezes, van Oorschot, Vanstone, 1996. , Pp. 228-233.
  18. ISO / IEC 10116: 2006 Information technology - Security techniques - Modes of operation for an n-bit block cipher
  19. Morris Dworkin (December 2001), " Recommendation for Block Cipher Modes of Operation - Methods and Techniques ", Special Publication 800-38A (National Institute of Standards and Technology (NIST)), < http://csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf >
  20. "Kryptographische Verfahren: Empfehlungen und Schlüssellängen", BSI TR-02102 (no. Version 1.0), June 20, 2008
  21. Serge Vaudenay (2002). "Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS ...". Advances in Cryptology - EUROCRYPT 2002 Proc. International Conference on the Theory and Applications of Cryptographic Techniques . Springer Verlag (2332): 534-545.
  22. ISO / IEC 9797-1: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 1: Mechanisms using a block cipher , ISO / IEC, 2011, < http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=50375 >
  23. Kenneth G. Paterson; Gaven J. Watson (2008). "Immunising CBC Mode Against Padding Oracle Attacks: A Formal Security Treatment". Security and Cryptography for Networks - SCN 2008, Lecture Notes in Computer Science. Springer Verlag (5229): 340-357.
  24. Martin, Keith M. Everyday Cryptography: Fundamental Principles and Applications . - Oxford University Press, 2012. - P. 114. - ISBN 9780199695591 .
  25. Understanding Cryptography: A Textbook for Students and Practitioners . - Springer, 2010. - P. 30. - ISBN 9783642041006 .
  26. Menezes, van Oorschot, Vanstone, 1996. , P. 227.
  27. James Nechvatal, Elaine Barker, Lawrence Bassham, William Burr, Morris Dworkin, James Foti, Edward Roback (October 2000), Report on the Development of the Advanced Encryption Standard (AES) , National Institute of Standards and Technology (NIST), < http://csrc.nist.gov/archive/aes/round2/r2report.pdf >
  28. NIST Special Publication 800-57 Recommendation for Key Management - Part 1: General (Revised), March, 2007
  29. Nicolas T. Courtois. Security Evaluation of GOST 28147-89 In View Of International Standardisation . Cryptology ePrint Archive: Report 2011/211
  30. SecurityLab: Зламаний блоковий шифр ГОСТ 28147-89
  31. ISO / IEC 10118-2: 2010 Information technology - Security techniques - Hash-functions - Part 2: Hash-functions using an n-bit block cipher
  32. Menezes, van Oorschot, Vanstone, 1996. , Chapter 9: Hash Functions and Data Integrity.
  33. NIST Special Publication 800-90A Recommendation for Random Number Generation Using Deterministic Random Bit Generators
  34. Menezes, van Oorschot, Vanstone, 1996. , Chapter 5: Pseudorandom Bits and Sequences.
  • Брюс Шнайер. "Прикладна криптографія. Протоколи, алгоритми, вихідні тексти на мові Сі". - М.: Тріумф, 2002. - ISBN 5-89392-055-4 .
  • Габідулін Е. М. , Кшевецкій А. С. , Колибельніков А. І. Захист інформації : Навчальний посібник - М.: МФТІ , 2011. - 225 с. - ISBN 978-5-7417-0377-9
  • Фомічов В. М. Дискретна математика і криптология : Курс лекцій / під ред. Н. Д. Подуфалов - М .: Діалог-МІФІ , 2013. - 397 с. - ISBN 978-5-86404-185-7
  • Баричев С. Г. , Гончаров В. В. , Сєров Р. Є. Основи сучасної криптографії - 3-е изд. - М .: Діалог-МІФІ , 2011. - 176 с. - ISBN 978-5-9912-0182-7
  • А. П. Алфьоров, А. Ю. Зубов, А. С. Кузьмін, А. В. Черьомушкін. "Основи криптографії". - М.: Геліос АРВ, 2002. - 480 с. - ISBN 5-85438-025-0 .
  • Menezes, van Oorschot, Vanstone. Chapter 7: Block Ciphers // Handbook of Applied Cryptography . - CRC Press, 1996. - ISBN 0-8493-8523-7 .

Htm?

Новости

также можем предложить:
печать бланков и прайс-листов | печать визитных карточек (визиток)
изготовление папок и меню | изготовление блокнотов
печать листовок

Связаться с менеджером для оформления заказа:
тел.: +38 (062) 349-56-15, 348-62-20
моб.: +38 (095) 811-22-62, +38 (093) 665-38-06,
+38 (067) 17 44 103
факс: +38 (062) 332-28-98
e-mail: [email protected]
г. Донецк, ул. Артема, 41

   2010 © Восток Маркетинг Яндекс.Метрика