Вы находитесь на странице: 1из 6

КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Математические
модели криптографии
Cryptography is communication in the presence of adversaries.
Ron Rivest1

А. Е. Жуков, председатель совета фонных картах, мобильных телефо- современных математических моде-
Ассоциации «РусКрипто» нах и банкоматах, в электронной тор- лей в криптографии, являются по-
говле и платных телевизионных ка- нятия однонаправленной функции
налах. Как наука современная крип- и однонаправленной функции с ла-
Оксфордский словарь англий- тография является разделом при- зейкой. Заметим, что эти понятия яв-
ского языка дает следующее опреде- кладной математики, связанным с ал- ляются фундаментальными не толь-
ление криптографии: «A secret man- горитмами, схемами и протоколами, ко для асимметричной криптогра-
ner of writing, either by arbitrary char- выполняющими определенные зада- фии, как это обычно принято думать,
acters, by using letters or characters in чи по обеспечению информацион- но и для всей криптографии в целом,
other than their ordinary sense, or by ной безопасности, при противодей- включая классическую.
other methods intelligible only to those ствии злоумышленника (нарушите- Функция f : X  Y называется од-
possessing the key; also anything writ- ля). Владение механизмами крипто- нонаправленной функцией (one-way
ten in this way. Generally, the art of графической защиты стало необхо- function), если для всех x  X можно
writing or solving ciphers»2. димым требованием для современ- легко вычислить ее значение f (x),
Однако в последние десятилетия ных инженеров в области информа- но в то же время для почти всех эле-
цели криптографии и задачи, стоя- ционных технологий. ментов y  Im(f ) вычислительно
щие перед ней существеннейшим трудно найти какой-либо элемент
образом изменились. Это произо- x  X для которого f (x) = y.
шло в результате появления и разви- Однонаправленные функции Однонаправленной функцией с ла-
тия электронных носителей данных, и криптографические зейкой (trapdoor one-way function) на-
сетей связи, в том числе и глобаль- преобразования зывается однонаправленная функ-
ных, развития мобильных средств Итак, современная криптография ция f : X  Y со следующим допол-
связи и электронной торговли. В на- состоит в применении математиче- нительным свойством: если извест-
ши дни криптографические устрой- ских идей и подходов к задачам ин- на некоторая дополнительная ин-
ства входят в конструкцию много- формационной безопасности. Будет формация, называемая лазейкой
численных товаров и прочих эле- весьма трудно указать хотя бы один (trapdoor), то для любого элемента
ментов массовой электронной про- раздел математики, который не при- y  Im(f ), можно эффективно найти
дукции. Криптографические модули меняли или хотя бы не пытались такой элемент x  X, что f (x) = y.
используются для осуществления ау- применить в криптографических ис- Конечно, для использования этих
тентификации и шифрования в бан- следованиях. Однако, основным ба- понятий в тех или иных математиче-
ковских кредитных картах и теле- зовым понятием, лежащим в основе ских моделях они нуждаются в уточ-

1 Криптография есть осуществление связи в присутствии злоумышленников. Рон Райвест.


2 Секретный способ письма или с помощью произвольных знаков, или используя буквы и знаки в ином, нежели обычно, значении, или
письмо каким-либо еще способом, понятным лишь для обладателей секретного ключа; а также все, написанное указанным выше об-
разом. В более общем смысле – искусство шифрования или разгадывания шифров.

2 Защита информации. INSIDE № 5’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

нении: что означает «легко», «труд- образованию Е является то, что оно нонаправленной функцией с лазей-
но», «эффективно», «почти для всех». должно быть однонаправленной кой относительно преобразования х
Однако в данной работе ограничим- функцией. В этом случае преобразо- в у, при этом роль лазейки исполня-
ся приведенными выше «неточны- вание E называется обратимым крип- ет ключ расшифрования d. В этом
ми» определениями. тографическим преобразованием. случае преобразование Ee называет-
Математическую основу крип- ся обратимым криптографическим
тографических алгоритмов образу- Обратимые криптографические преобразованием с ключом.
ют преобразования трех основных преобразования с ключом
типов. Все они являются однона- Важнейшим для криптографии Симметричные и асимметричные
правленными функциями того или случаем являются обратимые крип- обратимые криптографические
иного вида (хотя безусловно в рабо- тографические преобразования преобразования с ключом
те конкретных криптосистем могут с ключом. Рассмотрим отображение Все обратимые криптографиче-
использоваться и другие математи- E : P 6 K  C, где K – конечное мно- ские преобразования с ключом по-
ческие преобразования и функции). жество, называемое ключевым про- дразделяются на два класса: симме-
тричные и асимметричные.
Если ключ расшифрования d об-

ратимого криптографического пре-


ВСЯ криптография базируется на понятии однонаправленности
образования совпадает с ключом ши-
фрования e (и тогда K = K’) или мо-
жет быть легко получен из e, преоб-
Обратимые криптографические странством, P и C, как и выше, – про- разование называется симметрич-
преобразования странство открытых текстов и про- ным криптографическим преобразо-
Обратимые криптографические странство шифртекстов. Отображе- ванием. Если же ключи шифрования
преобразования позволяют обеспе- ние E можно рассматривать как се- и расшифрования различны, более
чить секретность, аутентификацию мейство обратимых отображений того, вычислительно трудно полу-
и целостность информации. Идея, {Ee : P  C, e  K}, определяемых па- чить один ключ из другого, то соот-
лежащая в основе использования та- раметром e  K – ключом шифрова- ветствующее преобразование назы-
ких преобразований, состоит в при- ния. Множество обратных отобра- вается асимметричным криптогра-
менении к защищаемой информа- жений объединяется в семейство фическим преобразованием. Соответ-
ции некоторого «сложного» преоб- отображений{Dd : C  P, d  K’}, оп- ственно, криптосистема, использую-
разования. Основная задача такого ределяемых параметром d, называ- щая обратимое криптографическое
преобразования – сделать информа- емым ключом расшифрования. При преобразование, называется в пер-
цию «нечитаемой». этом для каждого e  K (ключа ши- вом случае симметричной крипто-
Как правило, обратимое преобра- фрования) существует d  K’ (ключ системой (криптосистемой с секрет-
зование E : P  C применяется к от- расшифрования) такой, что Dd(y) = ным ключом, одноключевой крипто-
крытому тексту x  X, где P – про- = Dd (Ee(x)) = x для всех x  P. системой), а во втором – асиммет-
странство открытых текстов. Пре-
образование E зачастую называется

шифрующим преобразованием, пре- ВСЯ криптография держится на использовании однонаправленных


образованием шифрования или про- преобразований трех основных типов
сто шифром; результат этого преоб-
разования E(x) = y  C называется
шифртекстом, а множество C – про- Параметры e и d, задающие соот- ричной криптосистемой (криптоси-
странством шифртекстов. Для вос- ветствующие пары взаимно обрат- стемой с открытым ключом, дву-
становления исходной информа- ных преобразований, образуют па- ключевой криптосистемой).
ции x применяется обратное преоб- ры (e, d) – (ключ шифрования – ключ Использование криптографиче-
разование D : C  P, D = E –1; тогда расшифрования). Если при расшиф- ских преобразований с ключом дает
исходная информация x = D(y) = ровании используется ключ d’ отлич- возможность сделать алгоритм ши-
= E –1(y). По аналогии с E, преобра- ный от истинного ключа расшиф- фрования E и алгоритм расшифро-
зование D называется преобразова- рования d, получается «случайный» вания D открытыми (несекретны-
нием расшифрования. текст x’, существенно отличающий- ми); стойкость криптосистемы будет
Для нарушителя, которому не- ся от истинного открытого текста x. основываться на секретности клю-
известно преобразование D, шифр- Из этого вытекает, что отображение чей (обоих в случае симметричной
текст y должен выглядеть как бес- Ee является однонаправленной функ- криптосистемы и только одного
смысленный набор знаков; в идеале цией с лазейкой, причем роль лазей- в случае асимметричной криптоси-
нарушитель не должен получить да- ки играет ключ расшифрования d. стемы). Этот подход составляет суть
же частичной информации об исход- Таким образом, основным тре- принципа Керкхоффа (Kerckhoffs’s
ной информации x ([14]). Таким об- бованием к преобразованию Ee яв- principle): стойкость криптосистемы
разом, основным требованием к пре- ляется то, что оно должно быть од- должна обеспечиваться секретнос-

Защита информации. INSIDE № 5’2011 3


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

тью используемых ключей, а не се- в отличии от предыдущего пунк- криптографическим генератором


кретностью самих алгоритмов ши- та, мы независимы в выборе обо- псевдослучайных последовательнос-
фрования и расшифрования. К при- их элементов x и x’). тей, если он удовлетворяет следую-
меру, для асимметричной крипто- Отображение называется необра- щим свойствам:
системы ключ шифрования можно тимым криптографическим отоб- ● его выходная последовательность
сделать открытым (то есть извест- ражением, если оно в обязательном должна «выглядеть случайной»
ным всем участникам информаци- порядке удовлетворяет свойству (1), (это означает, что генератор про-
онного процесса), что позволяет ре- то есть является однонаправленной ходит все известные статистичес-
шить, в частности, проблему рас- функцией и, возможно, удовлетво- кие «тесты на случайность»);
пределения ключей, являющуюся од- ряет свойствам (2) и (3). ● генератор является «непредсказу-
ним из «узких мест» для больших ин- емым» (это означает, что вычисли-
формационных сетей. Криптографические генераторы тельно невозможно предсказать
псевдослучайных значение очередного знака его вы-
Необратимые криптографические последовательностей ходной последовательности с веро-
преобразования Во многих криптографических ятностью существенно большей
В глобальном смысле основная примитивах используются генерато- 1/2, даже зная сам алгоритм выра-
задача таких преобразований – обес- ры псевдослучайных чисел. Обыч- ботки выходной последователь-
печение целостности информации. ным требованием к генераторам ности и зная значения предыду-
При этом они осуществляют преоб- псевдослучайных чисел является ста- щих знаков выходной последова-
разование «сжатия информации», тистическая неотличимость порож- тельности.
отображая последовательность про- денных ими последовательностей от Из последнего свойства следует,
извольной, но конечной длины в по- случайных равновероятных после- что отображение R является однона-
следовательность фиксированной довательностей. Для проверки этих правленной функцией.
длины (digest). свойств разработаны многочислен- Аналогично сказанному выше ис-
Пусть A – конечное множество ные статистические тесты [10]. Для пользование этих понятий в матема-
(конечный алфавит), обозначим криптографических генераторов тических моделях требует их более
Am = A 6 ѕ 6 A; элементами множе- псевдослучайных последовательно- строгого математического определе-
ства Am являются все упорядоченные стей требуется еще и «непредсказу- ния что, однако, выходит за рамки
наборы длины m, образованные эле- емость» – невозможность для нару- данной статьи.
ментами множества A. Обозначим шителя предсказывать очередной С сожалением следует отметить,

через A* =m= 0Am – множество упо- знак выходной последовательности, что, несмотря на многолетние иссле-
рядоченных наборов произвольной порождаемой криптографическим дования, в настоящее время нет ни
длины, образованных элементами генератором с вероятностью, суще- доказательств того, что та или иная
множества A. ственно отличной от равновероят- функция является однонаправлен-
Рассмотрим отображение ной, даже если ему известны все пре- ной, ни существенных оснований
h : A*  H = An. дыдущие знаки этой последователь- считать, что такая функция может
Отображение h может обладать ности. быть построена. В то же время на
следующими свойствами:
● однонаправленностью (one-way-

ness, preimage resistance): для почти …after almost thirty years of public4key cryptography, there is still
всех значений y  H вычислитель- no proof that trapdoor one4way functions, which are the fundament to
но трудно найти хотя бы один the theory, exist
Jim Massey, January 2002
элемент x’  A* такой, что h(x’) = y
(заметим, что y может быть полу-
чен из неизвестного нам x не обя- Генератором псевдослучайных практике многие функции рассма-
зательно совпадающего с x’); последовательностей называется от- триваются (и используются) в каче-
● слабой устойчивостью к колли- ображение стве однонаправленных, поскольку
зиям (weak collision resistance, 2nd- они могут быть эффективно вычис-
R : Ak  AT,
preimage resistance): если задан про- лены и при этом не известны алго-
извольный элемент x’  A*, вычис- которое отображает последователь- ритмы, позволяющие их эффектив-
лительно трудно найти еще один ность длины k элементов множест- но обращать (при этом не имеется
элемент x’  A*, x  x, такой, что ва A в последовательность длины доказательств и тому, что подобных
h(x’) = h(x); T k элементов того же множества. алгоритмов не существует). Такие
● сильной устойчивостью к колли- Аргумент отображения R называет- функции могут быть названы «прак-
зиям (strong collision resistance, colli- ся входом генератора (seed), образ R – тически» однонаправленными. Соот-
sion resistance): вычислительно труд- выходом генератора или псевдослу- ветственно, данное еще Шенноном
но найти два различных элемен- чайной последовательностью. [14] классическое определение крип-
та x, x’  A*, x  x , для которых Генератор псевдослучайных по- тостойкости как невозможности
h(x’) = h(x) (заметим, что здесь, следовательностей R называется получить какую-либо информацию

4 Защита информации. INSIDE № 5’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

об открытом тексте на основании пе- номочиями. В этот класс входят та- ние, сложившееся из практики, ко-
рехвата шифртекста в современной кие примитивы, как протоколы выра- торое не следует понимать букваль-
криптологии трансформировалось ботки и согласования ключей, асимме- но. С математической точки зрения
в понятие вычислительной крипто- тричные шифры (шифры с откры- это название несколько некоррект-
стойкости, которое определяется тым ключом), схемы цифровой под- но, так как при осуществлении такой
как вычислительная невозможность писи и многие другие. атаки криптоаналитик все-таки име-
получить какую-либо информацию Бесключевые примитивы. В этот ет некоторую информацию об от-
об открытом тексте исходя из шифр- класс входят примитивы, не исполь- крытом тексте, например его стати-
текста. зующие ключей. Такие примитивы стическую структуру, обеспеченную
Можно сказать, что криптогра- применяются в таких криптографи- структурой языка. В частности, ес-
фические алгоритмы, составляющие ческих сервисах, как аутентифика- ли открытый текст является случай-
основу почти всех криптографиче- ция и обеcпечение целостности ин- ной равновероятной последователь-
ских примитивов, базируются на формации. В этот класс входят сле- ностью, атака по шифртексту невоз-
«практической» однонаправленнос- дующие примитивы: однонаправлен- можна.
ти используемых в них функций. ные подстановки (one-way permuta- Все реальные атаки на современ-
tions), хэш-функции (hash functions), ные шифры (known plaintext attack,
безключевые хэш-функции или коды chosen plaintext attack, chosen ciphertext
Криптографические примитивы обнаружения модификации инфор- attack, adaptive chosen plaintext attack,
Криптографические примитивы мации (unkeyed hash functions, modi- adaptive chosen ciphertext attack) свя-
(cryptographic primitives) являются ос- fication detection codes – MDCs) и др. заны с известными парами «откры-
новным криптографическим инстру-
ментарием, который обеспечивает

выполнение тех или иных крипто- ВСЯ криптография держится на «практической» однонаправленности
графических сервисов. Обычно их тех или иных функций
подразделяют на примитивы с сек-
ретным ключом (симметричные
примитивы), примитивы с откры- Далее мы рассмотрим, какие кон- тый текст – шифртекст», полученны-
тым ключом (асимметричные при- струкции используются в современ- ми на одном и том же ключе, и ста-
митивы) и бесключевые примитивы. ных криптографических примити- вят задачу нахождения этого неиз-
Примитивы с секретным клю- вах в качестве «практических» одно- вестного ключа. Стойкость симме-
чом. Для таких примитивов крипто- направленных функций. При этом тричных криптосистем по отноше-
графическая стойкость обеспечива- из всего многообразия криптогра- нию к атакам этого типа означает,
ется секретностью ключа, который фических примитивов ограничим- что криптосистема, рассматривае-
должен оставаться неизвестным для ся рассмотрением алгоритмов шиф- мая в качестве функции K  C (то
всех участников информационного рования. есть c = E(x, e) = Ex(e) – функция
процесса, не имеющих соответству- только от ключа e, открытый текст
ющих полномочий. В этот класс вхо- x фиксирован), должна быть одно-
дят такие примитивы, как симмет- Примитивы направленной.
ричные шифры (которые, в свою оче- с секретным ключом Продемонстрируем на примерах
редь, подразделяются на блочные Симметричные алгоритмы ши- основные конструкции для таких
и поточные шифры), ключевые хэш- фрования, как преобразования от- «практических» однонаправленных
функции, называемые также кодами крытого текста в шифртекст, стро- функций.
проверки подлинности сообщения или го говоря, не являются однонаправ-
имитовставками (keyed hash func- ленными функциями (даже в «прак- Блочные шифры
tions, message authentication codes – тическом» смысле), так как без зна- С математической точки зрения
MACs), а также криптографические ния секретного ключа (который од- моделью блочного шифра является
генераторы псевдослучайных после- новременно является и ключом ши- зависящая от секретного ключа под-
довательностей. фрования, и ключом расшифрова- становка на множестве An, где A –
Примитивы с открытым клю- ния) преобразование шифрования алфавит открытого текста. Расшиф-
чом. Примитивы из этого класса ис- осуществить невозможно. Однако рование осуществляется примене-
пользуют пары ключей (е, d) – (ключ такой подход непосредственно связа- нием к шифртексту обратной под-
шифрования, ключ расшифрования) но с атакой по шифртексту (cipher- становки.
или (открытый ключ, секретный text only attack), которая применима Более формально, блочным ши-
ключ). Криптографическая стойкость в основном к историческим шифрам фром называется функция
обеспечивается с помощью секретно- (шифру простой замены или подста-
E : K 6 {0,1}n  [0,1}n,
го ключа, который должен оставать- новочному шифру, шифру колон-
ся неизвестным для всех участников ной замены, многоалфавитным ши- где K – конечное непустое множес-
информационного процесса, не об- фрам и т. д.). При этом, строго го- тво (ключевое пространство; чаще
ладающих соответствующими пол- воря, атака по шифртексту – назва- всего K = {0,1}k ), параметр n > 1 на-

Защита информации. INSIDE № 5’2011 5


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

зывается размером информацион- ний переставляет отдельные знаки tion network) если он представляет со-
ного блока (типичные значения для преобразуемого информационного бой последовательную композицию
n в настоящее время составляют 64 блока, а второе – заменяет m-бито- обратимых преобразований, реали-
или 128 бит), а отображение вую группу символов группой сим- зуемых S-блоками и P-блоками, по-
волов того же размера. Узлы, реали- добно той, что изображена на рис. 1.
Ee = E(e, ·) : {0,1}n  [0,1}n
зующие эти преобразования, назы- Через ki на схеме обозначены цикло-
для всех e  K является подстановкой ваются, соответственно, P-блоками вые ключи, как правило, получае-
на множестве {0,1}n. Как и раньше, (P-box, permutation box) и S-блоками мые из ключа шифрования с помо-
если y = Ee(x), то мы называем x бло- (S-box, substitution box). Входные и вы- щью отдельной процедуры выработ-
ком открытого текста, а y – блоком ходные информационные блоки для ки цикловых ключей (key scheduling
шифртекста, полученного из x с по- этих узлов являются двоичными на- algorithm). К этой категории, поми-
мощью ключа e  K. борами. Если число входных и вы- мо раннего варианта алгоритма LU-
Хотя с математической точки ходных символов P-блока или S-бло- CIFER, относятся также новый стан-
зрения задание блочного шифра не ка совпадает и равно m, то они на- дарт США AES (Advanced Encryption
представляет собой принципиаль- зываются, соответственно, P-блоком Standard), алгоритмы SAFER K-64,
ных трудностей, на практике уже на размера m 6 m и S-блоком размера Serpent, CS-CIPHER и многие другие.
этом этапе возникают существен- m 6 m или еще короче – Pm 6 m-бло-
ные проблемы. ком и Sm 6 m-блоком. Частным слу- Схемы Фейстеля
1. Как задавать подстановки на чаем Pm 6 m-блока является легко ре- Схема Фейстеля (Feistel scheme)
множестве {0,1}n, где n = 64 или 128, ализуемая на компьютере операция и ее многочисленные разновидности
то есть на множестве, мощность циклического сдвига двоичного на- была и до сих пор остается наиболее
которого имеет порядок 1019 –1038? бора длины m. распространенной схемой построе-
Стандартные способы, принятые Кроме того, m-битовые наборы ния блочных шифров. Она чрезвы-
в алгебре, здесь не подходят, посколь- можно рассматривать как элементы чайно легка в реализации и позволя-
ку требуют задания от 1019 до 1038 ве- различных алгебраических систем – ет получать подстановку (то есть об-
личин, что абсолютно нереально при двоичного m-мерного линейного ратимое преобразование) из псевдо-
современном развитии вычислитель- пространства (Z2)m, кольца вычетов случайной функции (преобразова-
ной техники. Z2m , конечного поля F2m , мультипли- ния не обязательно обратимого).
2. Отбор подстановок указанно- кативной группы поля Z2m + 1 (по- Кроме того, как процедура шифро-
го порядка по их свойствам тем бо- следнее – при условии, что 2m + 1 – вания, так и процедура расшифро-
лее невозможен по тем же вычисли- простое число) и преобразовывать вания могут быть реализованы с по-
тельным соображениям. их с помощью алгебраических опе- мощью одной и той же программы
Лежащая в основе строения боль- раций, действующих в соответству- (или микросхемы).
шинства блочных шифров матема- ющих алгебраических системах. Свое название схемы получили
тическая идея состоит в построении Ниже мы рассмотрим несколько по имени своего автора, разработчи-
криптографически качественной под- наиболее распространенных схем ка алгоритмов блочного шифрова-
становки путем последовательного получения подстановок, реализую- ния LUCIFER и DES, в основе кото-
применения относительно простых, щих блочные шифры. рых лежит структура схемы Фейсте-
легко задаваемых зависящих от се- ля, являющейся композицией преоб-
кретного ключа обратимых преоб- SP4сети разований Фейстеля. В свою очередь
разований. Такой подход был впер- Непосредственным применени- преобразование Фейстеля состоит
вые предложен Шенноном [14], кото- ем указанного выше подхода Шен- в том, что информационный блок
рый использовал с этой целью пре- нона являются так называемые SP- разбивается на две (не обязательно
образования перестановки и подста- сети. Блочный шифр называется SP- равные) части, и одна из частей скла-
новки. Первое из этих преобразова- сетью (SP-net, Substitution-Permuta- дывается с функцией от другой ча-
сти и циклового ключа (получен-
ного из ключа шифрования с помо-
щью процедуры выработки цикло-
вых ключей). В основном варианте
схемы Фейстеля части, на которые
разбивается информационный блок,
выбираются равными по размеру,
а после описанного выше преобра-
зования левая и правая половины
информационного блока меняются
местами. Очевидно, что преобразо-
вание Фейстеля задает подстановку
на множестве {0,1}n, где n – размер
Рис. 1 информационного блока.

6 Защита информации. INSIDE № 5’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Схема Фейстеля представляет со-


бой композицию преобразований
Фейстеля с разными цикловыми клю-
чами. На рис. 2 представлена схема
Фейстеля, состоящая из R итераций
(раундов – round). Заметим, что зна-
менитый алгоритм DES представля-
ет собой схему Фейстеля, состоящую
из 16 раундов, а отечественный стан-
дарт ГОСТ 28147-89 – схему Фейсте-
ля, состоящую из 32 раундов. Рис. 2
Подстановка, реализуемая схе-
мой Фейстеля с R раундами обычно
обозначается через Ψ(f1, ѕ, fR), где
f1, ѕ, fR – цикловые (раундовые)
функции. Все функции fi , как пра-
вило, получаются из одной и той же
функции f при разных цикловых
ключах ki. Оказалось, что подстанов-
ки вида Ψ(f1, ѕ, fR) являются в оп-
ределенном смысле «очень хороши-
ми» с криптографической точки зре-
Рис. 3
ния. Исследованию их свойств по-
священы многочисленные исследо- ■ один вход и несколько выхо-
вания. дов (например, как в алгоритме
MARS); Вход: (xL , xR);
Обобщения схемы Фейстеля ■ несколько входов и один вы- t = F(xL – xR),
Ниже приводится ряд обобще- ход (например, как в алгорит- yL = xL + t,
ний схемы Фейстеля. ме MD4); yR = xR + t;
● Левая и правая половины инфор- ■ несколько входов и несколько Выход: (уL , уR).
мационного блока не меняются выходов.
местами, а преобразуются пооче-
редно (например, как в алгорит- Схема Лая4Месси
мах TEA, MARS). В ряде блочных алгоритмов шиф- Рис. 4
● Можно добавить S-блоки (напри- рования для получения шифрующей
мер, блоки π и σ на рис. 3) на каж- подстановки используется структура, рис. 4, обладает существенным с точ-
дой из ветвей схемы – примером которая называется схемой Лая-Мес- ки зрения криптоанализа недостат-
может служить шифр BLOWFISH. си (Lai-Massey scheme). Примером та- ком: для любого входа (xL, xR) вы-
● Можно использовать в качестве кого алгоритма может послужить ал- полняется соотношение
операции, соединяющей выход горитм блочного шифрования IDEA
xL – xR = yL – yR.
цикловой функции с частью ин- (International Data Encryption Algo-
формационного блока, не только rithm). Другим примером может по- Этого можно избежать, если вве-
операцию XOR, но и другие опе- служить алгоритм блочного шиф- сти, например, дополнительный S-
рации. Заметим при этом, что от рования FOX. блок σ, то есть вычислять (yL, yR) по
используемой операции не требу- Аналогично схеме Фейстеля, ин- формулам
ется выполнения свойств ассоци- формационный блок разбивается
yL = σ(xL + t), yR = xR + t.
ативности или коммутативности. на две части, их разность является
Единственным условием является входом цикловой функции шифро- Если подстановка σ обладает тем
регулярность операции, то есть что- вания; выход цикловой функции свойством, что отображение
бы из равенства a 6 x =a 6 y следо- в свою очередь прибавляется к обе-
z  σ(z) – z
вало равенство x = y. им частям информационного блока
● Левая и правая части информаци- (рис. 4). также является подстановкой, то σ на-
онного блока не обязаны быть рав- Если в схеме, операцию «+» заме- зывается ортоморфизмом относи-
новесными (например, как в алго- нить на операцию «–» и использо- тельно операции «+». Показано, что
ритмах BEAR и LION). вать цикловые ключи в обратном если σ является ортоморфизмом, схе-
● Информационный блок может порядке, схема будет реализовывать ма Лая-Месси не уступает по стойко-
разбиваться более, чем на две ча- обратную подстановку. сти схеме Фейстеля [13].
сти, при этом цикловая функция К сожалению, схема Лая-Месси
шифрования может иметь: в том виде, как она изображена на Окончание в следующем номере

Защита информации. INSIDE № 5’2011 7