Алгоритм Khazad

разработан специально для участия в конкурсе NESSDE (см. разд. 2.2) интернациональным дуэтом специалистов: Пауло Баррето из Бразилии и Винсентом Риджменом из Бельгии. Название алгоритма произошло от названия Казад-Дум (Khazad-dum) — Подгорного Царства гномов из трилогии Дж. Р. Р. Толкиена «Властелин Колец» [395].

Структура алгоритма

Предшественником алгоритма Khazad считается разработанный в 1995 г. Винсентом Риджменом и Джоан Деймен алгоритм SHARK (см. разд. 3.50). Авторы Khazad утверждают, что в основе алгоритма лежит стратегия разработки криптографически стойких алгоритмов шифрования (Wide-Trail Strategy), предложенная Джоан Деймен в работе [128].

шифрует 64-битные блоки данных с использованием 128- битного ключа шифрования. Этот алгоритм представляет блок данных в виде строки из 8 байтов. В каждом раунде алгоритма для обработки строки применяется следующая последовательность операций [44]:

1. Табличная замена у: значение каждого байта строки заменяется с помощью таблицы S(jс) (см. табл. 3.65, указаны шестнадцатеричные значения).

Таблица 3.65

А7

D3

Е6

71

DO

AC

4D

79

ЗА

С9

91

FC

IE

47

54

BD

А5

FB

63

В8

DD

D4

Е5

ВЗ

С5

BE

А9

88

ОС

А2

39

DF

29

DA

А8

СВ

22

АА

24

41

70

А6

F9

Е2

ВО

36

7D

Е4

33

FF

60

20

08

АВ

7F

78

57

D2

DC

6D

0D

53

94

СЗ

28

27

06

5F

AD

67

55

48

52

ЕА

42

5D

30

58

51

59

ЗС

Таблица 3.65 (окончание)

38

72

14

Е7

С6

DE

50

92

D1

77

93

45

СЕ

2D

03

62

В6

В9

BF

96

3F

07

12

АЕ

40

34

46

ЗЕ

DB

CF

ЕС

СС

С1

А1

СО

D6

1D

F4

61

ЗВ

10

D8

68

АО

В1

OA

69

49

FA

76

С4

99

С2

В7

98

ВС

8F

85

1F

В4

F8

11

00

25

3D

05

4F

В2

32

90

AF

19

A3

F7

73

9D

15

74

ЕЕ

СА

9F

0F

75

86

84

97

65

F6

ED

09

ВВ

26

83

ЕВ

6F

81

04

43

01

17

Е1

87

F5

8D

ЕЗ

23

80

44

16

66

21

ЕЕ

D5

31

D9

35

18

02

64

F2

F1

56

CD

82

С8

ВА

F0

EF

Е9

Е8

ED

89

D7

С7

В5

А4

2F

95

13

ОВ

F3

Е0

37

Эта таблица заменяет значение 0 на А7, 1 — на D3 и т. д.

Стоит сказать, что таблица полностью эквивалентна используемой в алгоритме Anubis (это еще один алгоритм шифрования, представленный на конкурс NESSIE теми же авторами, его подробное описание можно найти в разд. 3.5). Значения таблицы соответствуют следующему соотношению:

В зависимости от ресурсов шифратора таблица S может быть реализована как с помощью приведенных таблиц Р и Q, так и напрямую. Сама модифицированная таблица S выглядит следующим образом (табл. 3.69):

Таблица 3.69

ВА

54

2F

74

53

D3

D2

4D

50

АС

8D

BF

70

52

ЕА

D5

97

D1

33

51

А6

DE

48

А8

99

DB

32

В7

FC

ЕЗ

91

Е2

вв

41

А5

СВ

95

А1

F3

В1

02

СС

С4

1D

14

СЗ

63

DA

5D

5F

DC

7D

CD

7F

F7

26 ‘

FF

ED

Е8

9D

6F

19

АО

F0

89

OF

07

AF

FB

08

15

0D

04

01

64

DF

76

79

DD

3D

16

3F

37

6D

38

В9

73

Е9

35

55

71

72

88

F6

ЗЕ

27

46

ОС

65

68

61

03

С1

57

D6

D9

58

D8

66

D7

ЗА

С8

ЗС

FA

96

А7

98

ЕС

В8

С7

АЕ

69

АВ

А9

67

OA

47

F2

В5

22

Е5

ЕЕ

BE

81

12

83

23

F5

45

21

СЕ

49

F9

Е6

В6

28

17

82

FE

09

С9

87

Е1

Е4

Е0

ЕВ

90

А4

85

60 –

00

25

F4

F1

94

ОВ

Е7

75

EF

34

31

D4

DO

86

AD

FD

29

30

ЗВ

9F

F8

С6

13

06

05

С5

11

77

78

36

39

59

18

56

ВЗ

ВО

24

20

В2

92

A3

СО

44

62

10

В4

84

43

93

С2

BD

8F

2D

ВС

40

CF

А2

80

4F

1F

СА

АА

42

Криптоанализ алгоритма Khazad

Первичный криптоанализ алгоритма был выполнен его авторами: в [44] утверждается, что Khazad обладает высокой криптостойкостью против линейного и дифференциального криптоанализа, использования усеченных дифференциалов, атак на связанных ключах и ряда других.

не привлек такого пристального внимания криптоаналити- ков, как, например, победители конкурса NESSIE: алгоритмы MISTY 1, Camellia и SHACAL, — известно существенно меньше работ, посвященных его криптоанализу, среди которых можно отметить следующие.

?     Некоторые недочеты первичного криптоанализа Khazad (незначительно снижающие заявленную авторами алгоритма стойкость к линейному криптоанализу) были указаны авторами работы [65].

?     В работе [272] предлагается атака на 5-раундовый Khazad методом интегрального криптоанализа (расширение дифференциального криптоанализа, исследует характеристики наборов текстов, шифруемых анализируемым алгоритмом), для которой требуется 264 открытых текстов (т. е., фактически, результаты зашифровывания всех возможных значений блока открытого текста).

?     В работе [294] показано, что реализации Khazad легко защитить от атак по потребляемой мощности.

?     Авторы [302] применили против алгоритма Khazad дифференциальный анализ на основе сбоев. Полнораундовый Khazad может быть вскрыт всего при наличии трех шифртекстов с внесенной ошибкой, однако модель атаки не является реалистичной.

?     В работе [82] найден класс из 264 слабых ключей, при использовании которых 5-раундовый Khazad вскрывается при наличии 234 выбранных открытых текстов или выбранных шифртекстов.

Как видно, никаких сколько-нибудь серьезных проблем с криптостойкостью алгоритма Khazad обнаружено не было, что отмечено и экспертами конкурса NESSIE [305]. Кроме того, экспертами отмечена весьма высокая скорость шифрования данного алгоритма [311]. Khazad был признан перспективным алгоритмом, весьма интересным для дальнейшего изучения, но не стал одним из победителей конкурса из-за подозрений экспертов, что структура алгоритма может содержать скрытые уязвимости, которые могут быть обнаружены в будущем [305].

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100