КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Математические
модели криптографии
Cryptography is communication in the presence of adversaries.
Ron Rivest1

А. Е. Жуков, председатель совета
Ассоциации «РусКрипто»
Оксфордский словарь англий-
ского языка дает следующее опреде-
ление криптографии: «A secret man-
ner of writing, either by arbitrary char-
acters, by using letters or characters in
other than their ordinary sense, or by
other methods intelligible only to those
possessing the key; also anything writ-
ten in this way. Generally, the art of
writing or solving ciphers»2.
Однако в последние десятилетия
цели криптографии и задачи, стоя-
щие перед ней существеннейшим
образом изменились. Это произо-
шло в результате появления и разви-
тия электронных носителей данных,
сетей связи, в том числе и глобаль-
ных, развития мобильных средств
связи и электронной торговли. В на-
ши дни криптографические устрой-
ства входят в конструкцию много-
численных товаров и прочих эле-
ментов массовой электронной про-
дукции. Криптографические модули
используются для осуществления ау-
тентификации и шифрования в бан-
ковских кредитных картах и теле-
фонных картах, мобильных телефо-
нах и банкоматах, в электронной тор-
говле и платных телевизионных ка-
налах. Как наука современная крип-
тография является разделом при-
кладной математики, связанным с ал-
горитмами, схемами и протоколами,
выполняющими определенные зада-
чи по обеспечению информацион-
ной безопасности, при противодей-
ствии злоумышленника (нарушите-
ля). Владение механизмами крипто-
графической защиты стало необхо-
димым требованием для современ-
ных инженеров в области информа-
ционных технологий.
Однонаправленные функции
и криптографические
преобразования
Итак, современная криптография
состоит в применении математиче-
ских идей и подходов к задачам ин-
формационной безопасности. Будет
весьма трудно указать хотя бы один
раздел математики, который не при-
меняли или хотя бы не пытались
применить в криптографических ис-
следованиях. Однако, основным ба-
зовым понятием, лежащим в основе
современных математических моде-
лей в криптографии, являются по-
нятия однонаправленной функции
и однонаправленной функции с ла-
зейкой. Заметим, что эти понятия яв-
ляются фундаментальными не толь-
ко для асимметричной криптогра-
фии, как это обычно принято думать,
но и для всей криптографии в целом,
включая классическую.
Функция f : X
Y называется од-
нонаправленной функцией (one-way
function), если для всех x  X можно
легко вычислить ее значение f (x),
но в то же время для почти всех эле-
ментов y  Im(f ) вычислительно
трудно найти какой-либо элемент
x  X для которого f (x) = y.
Однонаправленной функцией с ла-
зейкой (trapdoor one-way function) на-
зывается однонаправленная функ-
ция f : X
Y со следующим допол-
нительным свойством: если извест-
на некоторая дополнительная ин-
формация, называемая лазейкой
(trapdoor), то для любого элемента
y  Im(f ), можно эффективно найти
такой элемент x  X, что f (x) = y.
Конечно, для использования этих
понятий в тех или иных математиче-
ских моделях они нуждаются в уточ-

1 Криптография есть осуществление связи в присутствии злоумышленников. Рон Райвест.

2 Секретный способ письма или с помощью произвольных знаков, или используя буквы и знаки в ином, нежели обычно, значении, или
письмо каким-либо еще способом, понятным лишь для обладателей секретного ключа; а также все, написанное указанным выше об-
разом. В более общем смысле – искусство шифрования или разгадывания шифров.

2 Защита информации. INSIDE № 5’2011


нении: что означает «легко», «труд-
но», «эффективно», «почти для всех».
Однако в данной работе ограничим-
ся приведенными выше «неточны-
ми» определениями.
Математическую основу крип-
тографических алгоритмов образу-
ют преобразования трех основных
типов. Все они являются однона-
правленными функциями того или
иного вида (хотя безусловно в рабо-
те конкретных криптосистем могут
использоваться и другие математи-
ческие преобразования и функции).
✑
ВСЯ криптография базируется на понятии однонаправленности
Обратимые криптографические
преобразования
Обратимые криптографические
преобразования позволяют обеспе-
чить секретность, аутентификацию
и целостность информации. Идея,
лежащая в основе использования та-
ких преобразований, состоит в при-
менении к защищаемой информа-
ции некоторого «сложного» преоб-
разования. Основная задача такого
преобразования – сделать информа-
цию «нечитаемой».
Как правило, обратимое преобра-
зование E : P
C применяется к от-
крытому тексту x  X, где P – про-
странство открытых текстов. Пре-
образование E зачастую называется
шифрующим преобразованием, пре-
образованием шифрования или про-
сто шифром; результат этого преоб-
разования E(x) = y  C называется
шифртекстом, а множество C – про-
странством шифртекстов. Для вос-
становления исходной информа-
ции x применяется обратное преоб-
разование D : C
P, D = E –1; тогда
исходная информация x = D(y) =
= E –1(y). По аналогии с E, преобра-
зование D называется преобразова-
нием расшифрования.
Для нарушителя, которому не-
известно преобразование D, шифр-
текст y должен выглядеть как бес-
смысленный набор знаков; в идеале
нарушитель не должен получить да-
же частичной информации об исход-
ной информации x ([14]). Таким об-
разом, основным требованием к пре-
Защита информации. INSIDE № 5’2011
образованию Е является то, что оно
должно быть однонаправленной
функцией. В этом случае преобразо-
вание E называется обратимым крип-
тографическим преобразованием.
Обратимые криптографические
преобразования с ключом
Важнейшим для криптографии
случаем являются обратимые крип-
тографические преобразования
с ключом. Рассмотрим отображение
E : P 6 K
C, где K – конечное мно-
жество, называемое ключевым про-
странством, P и C, как и выше, – про-
странство открытых текстов и про-
странство шифртекстов. Отображе-
ние E можно рассматривать как се-
мейство обратимых отображений
{Ee : P
C, e  K}, определяемых па-
раметром e  K – ключом шифрова-
ния. Множество обратных отобра-
жений объединяется в семейство
отображений{Dd : C
P, d  K’}, оп-
ределяемых параметром d, называ-
емым ключом расшифрования. При
этом для каждого e  K (ключа ши-
фрования) существует d  K’ (ключ
расшифрования) такой, что Dd(y) =
= Dd (Ee(x)) = x для всех x  P.
✑
ВСЯ криптография держится на использовании однонаправленных
преобразований трех основных типов
Параметры e и d, задающие соот-
ветствующие пары взаимно обрат-
ных преобразований, образуют па-
ры (e, d) – (ключ шифрования – ключ
расшифрования). Если при расшиф-
ровании используется ключ d’ отлич-
ный от истинного ключа расшиф-
рования d, получается «случайный»
текст x’, существенно отличающий-
ся от истинного открытого текста x.
Из этого вытекает, что отображение
Ee является однонаправленной функ-
цией с лазейкой, причем роль лазей-
ки играет ключ расшифрования d.
Таким образом, основным тре-
бованием к преобразованию Ee яв-
ляется то, что оно должно быть од-
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
нонаправленной функцией с лазей-
кой относительно преобразования х
в у, при этом роль лазейки исполня-
ет ключ расшифрования d. В этом
случае преобразование Ee называет-
ся обратимым криптографическим
преобразованием с ключом.
Симметричные и асимметричные
обратимые криптографические
преобразования с ключом
Все обратимые криптографиче-
ские преобразования с ключом по-
дразделяются на два класса: симме-
тричные и асимметричные.
Если ключ расшифрования d об-
ратимого криптографического пре-
образования совпадает с ключом ши-
фрования e (и тогда K = K’) или мо-
жет быть легко получен из e, преоб-
разование называется симметрич-
ным криптографическим преобразо-
ванием. Если же ключи шифрования
и расшифрования различны, более
того, вычислительно трудно полу-
чить один ключ из другого, то соот-
ветствующее преобразование назы-
вается асимметричным криптогра-
фическим преобразованием. Соответ-
ственно, криптосистема, использую-
щая обратимое криптографическое
преобразование, называется в пер-
вом случае симметричной крипто-
системой (криптосистемой с секрет-
ным ключом, одноключевой крипто-
системой), а во втором – асиммет-
ричной криптосистемой (криптоси-
стемой с открытым ключом, дву-
ключевой криптосистемой).
Использование криптографиче-
ских преобразований с ключом дает
возможность сделать алгоритм ши-
фрования E и алгоритм расшифро-
вания D открытыми (несекретны-
ми); стойкость криптосистемы будет
основываться на секретности клю-
чей (обоих в случае симметричной
криптосистемы и только одного
в случае асимметричной криптоси-
стемы). Этот подход составляет суть
принципа Керкхоффа (Kerckhoffs’s
principle): стойкость криптосистемы
должна обеспечиваться секретнос-
3
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
тью используемых ключей, а не се-
кретностью самих алгоритмов ши-
фрования и расшифрования. К при-
меру, для асимметричной крипто-
системы ключ шифрования можно
сделать открытым (то есть извест-
ным всем участникам информаци-
онного процесса), что позволяет ре-
шить, в частности, проблему рас-
пределения ключей, являющуюся од-
ним из «узких мест» для больших ин-
формационных сетей.
Необратимые криптографические
преобразования
В глобальном смысле основная
задача таких преобразований – обес-
печение целостности информации.
При этом они осуществляют преоб-
разование «сжатия информации»,
отображая последовательность про-
извольной, но конечной длины в по-
следовательность фиксированной
длины (digest).
Пусть A – конечное множество
(конечный алфавит), обозначим
Am = A 6 ѕ 6 A; элементами множе-
ства Am являются все упорядоченные
наборы длины m, образованные эле-
ментами множества A. Обозначим

через A* =m= 0Am – множество упо-
рядоченных наборов произвольной
длины, образованных элементами
множества A.
Рассмотрим отображение
h : A*
H = An.
Отображение h может обладать
следующими свойствами:
● однонаправленностью (one-way-
ness, preimage resistance): для почти
всех значений y  H вычислитель-
но трудно найти хотя бы один
элемент x’  A* такой, что h(x’) = y
(заметим, что y может быть полу-
чен из неизвестного нам x не обя-
зательно совпадающего с x’);
● слабой устойчивостью к колли-
зиям (weak collision resistance, 2nd-
preimage resistance): если задан про-
извольный элемент x’  A*, вычис-
лительно трудно найти еще один
элемент x’  A*, x  x, такой, что
h(x’) = h(x);
● сильной устойчивостью к колли-
зиям (strong collision resistance, colli-
sion resistance): вычислительно труд-
но найти два различных элемен-
та x, x’  A*, x  x , для которых
h(x’) = h(x) (заметим, что здесь,
4 Защита информации. INSIDE № 5’2011
в отличии от предыдущего пунк-
та, мы независимы в выборе обо-
их элементов x и x’).
Отображение называется необра-
тимым криптографическим отоб-
ражением, если оно в обязательном
порядке удовлетворяет свойству (1),
то есть является однонаправленной
функцией и, возможно, удовлетво-
ряет свойствам (2) и (3).
Криптографические генераторы
псевдослучайных
последовательностей
Во многих криптографических
примитивах используются генерато-
ры псевдослучайных чисел. Обыч-
ным требованием к генераторам
псевдослучайных чисел является ста-
тистическая неотличимость порож-
денных ими последовательностей от
случайных равновероятных после-
довательностей. Для проверки этих
свойств разработаны многочислен-
ные статистические тесты [10]. Для
криптографических генераторов
псевдослучайных последовательно-
стей требуется еще и «непредсказу-
емость» – невозможность для нару-
шителя предсказывать очередной
знак выходной последовательности,
порождаемой криптографическим
генератором с вероятностью, суще-
ственно отличной от равновероят-
ной, даже если ему известны все пре-
дыдущие знаки этой последователь-
ности.
✑
…after almost thirty years of public4key cryptography, there is still
no proof that trapdoor one4way functions, which are the fundament to
the theory, exist
Генератором псевдослучайных
последовательностей называется от-
ображение
R : Ak
AT,
которое отображает последователь-
ность длины k элементов множест-
ва A в последовательность длины
T k элементов того же множества.
Аргумент отображения R называет-
ся входом генератора (seed), образ R –
выходом генератора или псевдослу-
чайной последовательностью.
Генератор псевдослучайных по-
следовательностей R называется
криптографическим генератором
псевдослучайных последовательнос-
тей, если он удовлетворяет следую-
щим свойствам:
● его выходная последовательность
должна «выглядеть случайной»
(это означает, что генератор про-
ходит все известные статистичес-
кие «тесты на случайность»);
● генератор является «непредсказу-
емым» (это означает, что вычисли-
тельно невозможно предсказать
значение очередного знака его вы-
ходной последовательности с веро-
ятностью существенно большей
1/2, даже зная сам алгоритм выра-
ботки выходной последователь-
ности и зная значения предыду-
щих знаков выходной последова-
тельности.
Из последнего свойства следует,
что отображение R является однона-
правленной функцией.
Аналогично сказанному выше ис-
пользование этих понятий в матема-
тических моделях требует их более
строгого математического определе-
ния что, однако, выходит за рамки
данной статьи.
С сожалением следует отметить,
что, несмотря на многолетние иссле-
дования, в настоящее время нет ни
доказательств того, что та или иная
функция является однонаправлен-
ной, ни существенных оснований
считать, что такая функция может
быть построена. В то же время на
Jim Massey, January 2002
практике многие функции рассма-
триваются (и используются) в каче-
стве однонаправленных, поскольку
они могут быть эффективно вычис-
лены и при этом не известны алго-
ритмы, позволяющие их эффектив-
но обращать (при этом не имеется
доказательств и тому, что подобных
алгоритмов не существует). Такие
функции могут быть названы «прак-
тически» однонаправленными. Соот-
ветственно, данное еще Шенноном
[14] классическое определение крип-
тостойкости как невозможности
получить какую-либо информацию

об открытом тексте на основании пе-
рехвата шифртекста в современной
криптологии трансформировалось
в понятие вычислительной крипто-
стойкости, которое определяется
как вычислительная невозможность
получить какую-либо информацию
об открытом тексте исходя из шифр-
текста.
Можно сказать, что криптогра-
фические алгоритмы, составляющие
основу почти всех криптографиче-
ских примитивов, базируются на
«практической» однонаправленнос-
ти используемых в них функций.
Криптографические примитивы
Криптографические примитивы
(cryptographic primitives) являются ос-
новным криптографическим инстру-
ментарием, который обеспечивает
выполнение тех или иных крипто-
графических сервисов. Обычно их
подразделяют на примитивы с сек-
ретным ключом (симметричные
примитивы), примитивы с откры-
тым ключом (асимметричные при-
митивы) и бесключевые примитивы.
Примитивы с секретным клю-
чом. Для таких примитивов крипто-
графическая стойкость обеспечива-
ется секретностью ключа, который
должен оставаться неизвестным для
всех участников информационного
процесса, не имеющих соответству-
ющих полномочий. В этот класс вхо-
дят такие примитивы, как симмет-
ричные шифры (которые, в свою оче-
редь, подразделяются на блочные
и поточные шифры), ключевые хэш-
функции, называемые также кодами
проверки подлинности сообщения или
имитовставками (keyed hash func-
tions, message authentication codes –
MACs), а также криптографические
генераторы псевдослучайных после-
довательностей.
Примитивы с открытым клю-
чом. Примитивы из этого класса ис-
пользуют пары ключей (е, d) – (ключ
шифрования, ключ расшифрования)
или (открытый ключ, секретный
ключ). Криптографическая стойкость
обеспечивается с помощью секретно-
го ключа, который должен оставать-
ся неизвестным для всех участников
информационного процесса, не об-
ладающих соответствующими пол-
Защита информации. INSIDE № 5’2011
номочиями. В этот класс входят та-
кие примитивы, как протоколы выра-
ботки и согласования ключей, асимме-
тричные шифры (шифры с откры-
тым ключом), схемы цифровой под-
писи и многие другие.
Бесключевые примитивы. В этот
класс входят примитивы, не исполь-
зующие ключей. Такие примитивы
применяются в таких криптографи-
ческих сервисах, как аутентифика-
ция и обеcпечение целостности ин-
формации. В этот класс входят сле-
дующие примитивы: однонаправлен-
ные подстановки (one-way permuta-
tions), хэш-функции (hash functions),
безключевые хэш-функции или коды
обнаружения модификации инфор-
мации (unkeyed hash functions, modi-
fication detection codes – MDCs) и др.
✑
ВСЯ криптография держится на «практической» однонаправленности
тех или иных функций
Далее мы рассмотрим, какие кон-
струкции используются в современ-
ных криптографических примити-
вах в качестве «практических» одно-
направленных функций. При этом
из всего многообразия криптогра-
фических примитивов ограничим-
ся рассмотрением алгоритмов шиф-
рования.
Примитивы
с секретным ключом
Симметричные алгоритмы ши-
фрования, как преобразования от-
крытого текста в шифртекст, стро-
го говоря, не являются однонаправ-
ленными функциями (даже в «прак-
тическом» смысле), так как без зна-
ния секретного ключа (который од-
новременно является и ключом ши-
фрования, и ключом расшифрова-
ния) преобразование шифрования
осуществить невозможно. Однако
такой подход непосредственно связа-
но с атакой по шифртексту (cipher-
text only attack), которая применима
в основном к историческим шифрам
(шифру простой замены или подста-
новочному шифру, шифру колон-
ной замены, многоалфавитным ши-
фрам и т. д.). При этом, строго го-
воря, атака по шифртексту – назва-
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
ние, сложившееся из практики, ко-
торое не следует понимать букваль-
но. С математической точки зрения
это название несколько некоррект-
но, так как при осуществлении такой
атаки криптоаналитик все-таки име-
ет некоторую информацию об от-
крытом тексте, например его стати-
стическую структуру, обеспеченную
структурой языка. В частности, ес-
ли открытый текст является случай-
ной равновероятной последователь-
ностью, атака по шифртексту невоз-
можна.
Все реальные атаки на современ-
ные шифры (known plaintext attack,
chosen plaintext attack, chosen ciphertext
attack, adaptive chosen plaintext attack,
adaptive chosen ciphertext attack) свя-
заны с известными парами «откры-
тый текст – шифртекст», полученны-
ми на одном и том же ключе, и ста-
вят задачу нахождения этого неиз-
вестного ключа. Стойкость симме-
тричных криптосистем по отноше-
нию к атакам этого типа означает,
что криптосистема, рассматривае-
мая в качестве функции K
C (то
есть c = E(x, e) = Ex(e) – функция
только от ключа e, открытый текст
x фиксирован), должна быть одно-
направленной.
Продемонстрируем на примерах
основные конструкции для таких
«практических» однонаправленных
функций.
Блочные шифры
С математической точки зрения
моделью блочного шифра является
зависящая от секретного ключа под-
становка на множестве An, где A –
алфавит открытого текста. Расшиф-
рование осуществляется примене-
нием к шифртексту обратной под-
становки.
Более формально, блочным ши-
фром называется функция
E : K 6 {0,1}n
[0,1}n,
где K – конечное непустое множес-
тво (ключевое пространство; чаще
всего K = {0,1}k ), параметр n > 1 на-
5
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
зывается размером информацион-
ного блока (типичные значения для
n в настоящее время составляют 64
или 128 бит), а отображение
Ee = E(e, ·) : {0,1}n
[0,1}n
для всех e  K является подстановкой
на множестве {0,1}n. Как и раньше,
если y = Ee(x), то мы называем x бло-
ком открытого текста, а y – блоком
шифртекста, полученного из x с по-
мощью ключа e  K.
Хотя с математической точки
зрения задание блочного шифра не
представляет собой принципиаль-
ных трудностей, на практике уже на
этом этапе возникают существен-
ные проблемы.
1. Как задавать подстановки на
множестве {0,1}n, где n = 64 или 128,
то есть на множестве, мощность
которого имеет порядок 1019 –1038?
Стандартные способы, принятые
в алгебре, здесь не подходят, посколь-
ку требуют задания от 1019 до 1038 ве-
личин, что абсолютно нереально при
современном развитии вычислитель-
ной техники.
2. Отбор подстановок указанно-
го порядка по их свойствам тем бо-
лее невозможен по тем же вычисли-
тельным соображениям.
Лежащая в основе строения боль-
шинства блочных шифров матема-
тическая идея состоит в построении
криптографически качественной под-
становки путем последовательного
применения относительно простых,
легко задаваемых зависящих от се-
кретного ключа обратимых преоб-
разований. Такой подход был впер-
вые предложен Шенноном [14], кото-
рый использовал с этой целью пре-
образования перестановки и подста-
новки. Первое из этих преобразова-
Рис. 1
6 Защита информации. INSIDE № 5’2011
ний переставляет отдельные знаки
преобразуемого информационного
блока, а второе – заменяет m-бито-
вую группу символов группой сим-
волов того же размера. Узлы, реали-
зующие эти преобразования, назы-
ваются, соответственно, P-блоками
(P-box, permutation box) и S-блоками
(S-box, substitution box). Входные и вы-
ходные информационные блоки для
этих узлов являются двоичными на-
борами. Если число входных и вы-
ходных символов P-блока или S-бло-
ка совпадает и равно m, то они на-
зываются, соответственно, P-блоком
размера m 6 m и S-блоком размера
m 6 m или еще короче – Pm 6 m-бло-
ком и Sm 6 m-блоком. Частным слу-
чаем Pm 6 m-блока является легко ре-
ализуемая на компьютере операция
циклического сдвига двоичного на-
бора длины m.
Кроме того, m-битовые наборы
можно рассматривать как элементы
различных алгебраических систем –
двоичного m-мерного линейного
пространства (Z2)m, кольца вычетов
Z2m , конечного поля F2m , мультипли-
кативной группы поля Z2m + 1 (по-
следнее – при условии, что 2m + 1 –
простое число) и преобразовывать
их с помощью алгебраических опе-
раций, действующих в соответству-
ющих алгебраических системах.
Ниже мы рассмотрим несколько
наиболее распространенных схем
получения подстановок, реализую-
щих блочные шифры.
SP4сети
Непосредственным применени-
ем указанного выше подхода Шен-
нона являются так называемые SP-
сети. Блочный шифр называется SP-
сетью (SP-net, Substitution-Permuta-
tion network) если он представляет со-
бой последовательную композицию
обратимых преобразований, реали-
зуемых S-блоками и P-блоками, по-
добно той, что изображена на рис. 1.
Через ki на схеме обозначены цикло-
вые ключи, как правило, получае-
мые из ключа шифрования с помо-
щью отдельной процедуры выработ-
ки цикловых ключей (key scheduling
algorithm). К этой категории, поми-
мо раннего варианта алгоритма LU-
CIFER, относятся также новый стан-
дарт США AES (Advanced Encryption
Standard), алгоритмы SAFER K-64,
Serpent, CS-CIPHER и многие другие.
Схемы Фейстеля
Схема Фейстеля (Feistel scheme)
и ее многочисленные разновидности
была и до сих пор остается наиболее
распространенной схемой построе-
ния блочных шифров. Она чрезвы-
чайно легка в реализации и позволя-
ет получать подстановку (то есть об-
ратимое преобразование) из псевдо-
случайной функции (преобразова-
ния не обязательно обратимого).
Кроме того, как процедура шифро-
вания, так и процедура расшифро-
вания могут быть реализованы с по-
мощью одной и той же программы
(или микросхемы).
Свое название схемы получили
по имени своего автора, разработчи-
ка алгоритмов блочного шифрова-
ния LUCIFER и DES, в основе кото-
рых лежит структура схемы Фейсте-
ля, являющейся композицией преоб-
разований Фейстеля. В свою очередь
преобразование Фейстеля состоит
в том, что информационный блок
разбивается на две (не обязательно
равные) части, и одна из частей скла-
дывается с функцией от другой ча-
сти и циклового ключа (получен-
ного из ключа шифрования с помо-
щью процедуры выработки цикло-
вых ключей). В основном варианте
схемы Фейстеля части, на которые
разбивается информационный блок,
выбираются равными по размеру,
а после описанного выше преобра-
зования левая и правая половины
информационного блока меняются
местами. Очевидно, что преобразо-
вание Фейстеля задает подстановку
на множестве {0,1}n, где n – размер
информационного блока.

Схема Фейстеля представляет со-
бой композицию преобразований
Фейстеля с разными цикловыми клю-
чами. На рис. 2 представлена схема
Фейстеля, состоящая из R итераций
(раундов – round). Заметим, что зна-
менитый алгоритм DES представля-
ет собой схему Фейстеля, состоящую
из 16 раундов, а отечественный стан-
дарт ГОСТ 28147-89 – схему Фейсте-
ля, состоящую из 32 раундов.
Подстановка, реализуемая схе-
мой Фейстеля с R раундами обычно
обозначается через Ψ(f1, ѕ, fR), где
f1, ѕ, fR – цикловые (раундовые)
функции. Все функции fi , как пра-
вило, получаются из одной и той же
функции f при разных цикловых
ключах ki. Оказалось, что подстанов-
ки вида Ψ(f1, ѕ, fR) являются в оп-
ределенном смысле «очень хороши-
ми» с криптографической точки зре-
ния. Исследованию их свойств по-
священы многочисленные исследо-
вания.
Обобщения схемы Фейстеля
Ниже приводится ряд обобще-
ний схемы Фейстеля.
● Левая и правая половины инфор-
мационного блока не меняются
местами, а преобразуются пооче-
редно (например, как в алгорит-
мах TEA, MARS).
● Можно добавить S-блоки (напри-
мер, блоки π и σ на рис. 3) на каж-
дой из ветвей схемы – примером
может служить шифр BLOWFISH.
● Можно использовать в качестве
операции, соединяющей выход
цикловой функции с частью ин-
формационного блока, не только
операцию XOR, но и другие опе-
рации. Заметим при этом, что от
используемой операции не требу-
ется выполнения свойств ассоци-
ативности или коммутативности.
Единственным условием является
регулярность операции, то есть что-
бы из равенства a 6 x =a 6 y следо-
вало равенство x = y.
● Левая и правая части информаци-
онного блока не обязаны быть рав-
новесными (например, как в алго-
ритмах BEAR и LION).
● Информационный блок может
разбиваться более, чем на две ча-
сти, при этом цикловая функция
шифрования может иметь:
Защита информации. INSIDE № 5’2011
Рис. 2
Рис. 3
■ один вход и несколько выхо-
дов (например, как в алгоритме
MARS);
■ несколько входов и один вы-
ход (например, как в алгорит-
ме MD4);
■ несколько входов и несколько
выходов.
Схема Лая4Месси
В ряде блочных алгоритмов шиф-
рования для получения шифрующей
подстановки используется структура,
которая называется схемой Лая-Мес-
си (Lai-Massey scheme). Примером та-
кого алгоритма может послужить ал-
горитм блочного шифрования IDEA
(International Data Encryption Algo-
rithm). Другим примером может по-
служить алгоритм блочного шиф-
рования FOX.
Аналогично схеме Фейстеля, ин-
формационный блок разбивается
на две части, их разность является
входом цикловой функции шифро-
вания; выход цикловой функции
в свою очередь прибавляется к обе-
им частям информационного блока
(рис. 4).
Если в схеме, операцию «+» заме-
нить на операцию «–» и использо-
вать цикловые ключи в обратном
порядке, схема будет реализовывать
обратную подстановку.
К сожалению, схема Лая-Месси
в том виде, как она изображена на
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Вход: (xL , xR);
t = F(xL – xR),
yL = xL + t,
yR = xR + t;
Выход: (уL , уR).
Рис. 4
рис. 4, обладает существенным с точ-
ки зрения криптоанализа недостат-
ком: для любого входа (xL, xR) вы-
полняется соотношение
xL – xR = yL – yR.
Этого можно избежать, если вве-
сти, например, дополнительный S-
блок σ, то есть вычислять (yL, yR) по
формулам
yL = σ(xL + t), yR = xR + t.
Если подстановка σ обладает тем
свойством, что отображение
z
σ(z) – z
также является подстановкой, то σ на-
зывается ортоморфизмом относи-
тельно операции «+». Показано, что
если σ является ортоморфизмом, схе-
ма Лая-Месси не уступает по стойко-
сти схеме Фейстеля [13].
Окончание в следующем номере
7