Стандарты шифрования данных DES и AES.

DES

DES — это стандарт шифрования данных, созданный для американского правительства с целью использования в финансовых транзакциях. Он был разработан на базе криптосистемы Lucifer компании IBM. DES — нелинейный алгоритм. Это означает, что невозможно формировать правильные сообщения простым дополнением зашифрованных текстов (шифрограмм). DES включает только простые подстановки и дополнения, что делает его идеальным для реализации на интегральных схемах. Другое преимущество — для дешифровки DES использует то же самое оборудование, что и для шифрования, только с секциями подключей в обратном порядке.

Кроме шифрования передаваемых данных стандарт DES также используется для шифрования паролей в операционной системе UNIX и для проверки PIN-кодов на кэш-картах ATM.

DES-алгоритм состоит из 16 стандартных конструктивных блоков, которые переставляют и преобразуют 64-разрядные входные блоки в 64-разрядные выходные (рис.3, а). Каждый стандартный конструктивный блок работает с отдельным 48-разрядным ключом, который получается из первоначального ключа. Ключ состоит из 64 разрядов, но 8 из них — разряды проверки на четность, так что фактически ключ имеет длину 56 разрядов. До подачи в первый стандартный конструктивный блок, 64-разрядный ввод подвергается перестановке, а после прохождения через блоки — обратной перестановке.

Рис.3. DES-шифрование

Каждый стандартный конструктивный блок преобразует левую и правую части 64 разрядного входа в 64-разрядный выход (рис.3, б). Правая часть входа передается напрямую и принимает участие в формировании левой половины выхода. Правая часть выхода формируется с помощью нелинейной функции из левой и правой частей входа и ключа, предназначенного для данного конкретного блока.

Нелинейная функция детализирована на рис.3,в. 32-разрядный правый блок входа расширяется до 48 битов путем двойного повторения половины его разрядов и их перестановки. Затем к этому блоку добавляется специфический 48-разрядный ключ. Результат делится на восемь 6-разрядных блоков. Каждый из этих блоков используется как адрес для массива, состоящего из 8 S-элементов. Каждый S-элемент в этом массиве представляет число от 0 до 15, так что выходом каждого S-элемента является 4-разрядное число, поэтому функции S-элементов уменьшают выход до 32 разрядного числа. Функция S-элемента нелинейна, т.е. f(A) + f(B) ≠ f{A + В), а сами S-элементы различны. Перед добавлением к левому 32-разрядному блоку 32-разрядный выход S-элементов снова подвергается перестановке и затем используется для формирования нового 32-разрядного правого блока выхода.

16 секций подключей формируются из 56 значащих разрядов ключа (без учета разрядов проверки на четность) путем их расщепления на две секции по 28 разрядов. Затем эти 28-разрядные секции циклически сдвигаются на один или два разряда и между каждым этапом каждые 48 разрядов соответствующего этапа извлекаются и переставляются, формируя подключи К₁—K₁₆. Если подключи используются в прямом порядке (К₁, К₂, К₃,..., К₁₆), то выполняется прямое шифрование. Если же они используются в обратном порядке (К₁₆, К₁₅,..., К₁), то в результате происходит инверсия функции шифрования, т.е. зашифрованный блок преобразуется обратно в соответствующий блок сообщения. Это означает, что для шифрования и дешифровки может использоваться одно и то же оборудование.

DES очень популярен. Его алгоритм опубликован, и машинный код его реализации доступен для многих языков программирования. Лучшей атакой на него остается полный перебор всех 2⁵⁶ ключей, впрочем, поскольку шифрование дополнения сообщения с дополнением ключа дает дополнение полей шифрограммы, мы можем обойтись лишь половиной числа переборов (2⁵⁵).

Для работы с DES требуются весьма мощные компьютеры. В течение ряда лет полный перебор в течение нескольких часов был возможен только для очень богатых организаций, но прогресс в изготовлении микропроцессоров теперь вкладывает эти возможности в руки любой организации, позволяя экономить десятки миллионов долларов на использовании чужих секретов. Двойная шифровка сообщений приводит к небольшому увеличению защиты из-за возможности применения так называемого "встречающегося посередине" (meet in the middle) нападения. Однако шифрование с одним ключом, дешифрование — со вторым и повторное шифрование— с третьим, которое называется тройным DES-шифрованием, увеличивает число ключей, требующих проверки, приблизительно до 2⁸⁰, что снова можно считать безопасным.