Алгоритм GDES

(Generalized DES, обобщенный DES) появился в результате ряда попыток создать более универсальный алгоритм с переменным количеством раундов и переменным размером шифруемого блока данных. GDES подробно описан в [28] и [75].

Рис. 3.68. Алгоритм GDES

GDES позволяет шифровать блоки любого размера, кратного 32 битам. На рис. 3.68 показан пример л-раундового шифрования данным алгоритмом блоков размером 5*32 битов. В каждом /-м раунде выполняются следующие действия:

1.    Крайний правый 32-битный субблок обрабатывается функций /() — функцией раунда алгоритма DES с использованием ключа раунда К{.

2.     Результат предыдущего шага накладывается на остальные субблоки операцией XOR.

3.     Выполняется поблочный циклический сдвиг вправо на 1 субблок.

Стоит отметить, что при размере блока 64 бита и 16 раундах GDES полностью эквивалентен классическому алгоритму DES. Автором алгоритма рекомендовано 16-раундовое шифрование блоков по 8*32 битов. В любом случае, рекомендуется шифрование блоков, состоящих из четного числа субблоков [75].

Процедура расширения ключа эквивалентна таковой в алгоритме DES. Существует также вариант GDES с независимыми ключами раундов [28].

Считается, что GDES может шифровать данные с существенно большей скоростью, чем DES, при больших размерах блоков, поскольку на блок данных сколь угодно большого размера функция /() выполняется лишь однократно. Однако для достаточной криптостойкости при большом размере блока необходимо увеличить количество раундов алгоритма. Этот вывод можно сделать благодаря существованию атак на GDES [75], в частности:

?      дифференциальный криптоанализ 16-раундового алгоритма GDES с размером блока 8*32 битов позволяет вычислить ключ при наличии всего 6 выбранных открытых текстов и соответствующих им шифртекстов, а для 8 раундов при том же размере блока достаточно всего трех известных открытых текстов;

?      для полного вскрытия GDES, аналогичного предыдущему, но с независимыми ключами раундов, достаточно 16 выбранных открытых текстов.

В [75] описаны различные виды атак с использованием как выбранных, так и известных открытых текстов, применяемых в зависимости от соотношений количества раундов алгоритма и количества субблоков в шифруемом блоке данных. Вывод авторов данного исследования таков: при количестве раундов, меньшем восьмикратного количества субблоков, алгоритм GDES относительно легко вскрывается, поэтому данное соотношение рекомендуется как минимально возможное (в [28] также утверждается, что GDES с 8-ю субблоками в блоке и п = 64 слабее, чем DES). Таким образом, авторы утверждают, что «в общем, любой вариант GDES, более быстрый, чем DES, также и слабее, чем DES».

Еще один вариант GDES предложен специалистами Кембриджского университета в 1994 г. [391]. Однако Шнайер считает этот вариант не более надежным, чем описанный выше [28].

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100