2.3. Конкурс aes
Недостаточная длина ключа DES, его ориентированность на аппаратную реализацию и, как следствие, использование на практике огромного числа неизвестных криптоалгоритмов побудило правительство США к объявлению открытого конкурса на криптостандарт блочного шифрования США начала 21 века. Конкурс получил название AES (Advanced Encryption Standart)– "улучшенный стандарт шифрования" и был проведен под эгидой Национального Института Стандартизации(National Institut of Standarts and Technology—NIST) в 1997 – 2000 годах.
На первом этапе конкурса заявить о своей разработке могла любая группа исследователей или компания из любой страны мира. Требования к новому стандарту были очень просты:
1) шифр должен быть блочным;
2) шифр должен иметь дину блока, равную 128 битам;
3) шифр должен поддерживать ключи длиной 128, 192 и 256 бит.
К середине 1998 года свои разработки на конкурс представили 15 исследовательских групп. В течение года организаторы проекта вели переписку с научными центрами всего мира – высказаться "за" или "против" того или иного претендента мог любой желающий. В итоге за год было получено более ста электронных и печатных посланий как от научных центров с мировой известностью, так и от исследователей специалистов в этой области. Во второй половине 1999 г. NIST представил общественности документ, в котором сравнивались все 15 претендентов и были объявлены 5 финалистов, прошедших во второй этап конкурса.
По сравнению с первым этапом конкурса, где оценивались, в основном, количественные характеристики шифров, при выборе победителя во втором этапе основное внимание было уделено уже сравнению количественных характеристик алгоритмов. Преимущества, определившие места на пьедестале, а также количество голосов, отданное за каждый шифр, сведены в таблицу 2.4.
Таблица 2.4. Сравнительные характеристики алгоритмов – финалистов AES.
|
Преимущество |
Алгоритмы | ||||
|
RIJNDAEL |
SERPENT |
TWOFISH |
RC6 |
MARS | |
|
Быстродействие: аппаратная реализация |
+ |
+ |
|
|
|
|
программная реализация: на слабых ВС на мощных ВС |
+ |
+ |
|
+ + |
|
|
Этап расширения ключа |
+ |
|
+ |
|
|
|
Распараллели-ваемость |
+ |
|
|
|
|
|
Этап дешифрирования |
|
|
+ |
+ |
+ |
|
Запас криптостойкости |
Оптимум |
Завышен |
Завышен |
Оптимум |
Завышен |
|
Количество голосов |
86 |
59 |
31 |
23 |
13 |
2октября 2000 года
алгоритм RIJNDAEL был официально оглашен
как победителем конкурса и получил
второе название –AES – Advanced
Encryption Standard.
2.4. Краткое описание алгоритма Rijndael
Данный блочный шифр развивает нетрадиционную для последнего десятилетия структуру: прямоугольные KASLT– сети. Эта структура получила свое название из-за того, что шифруемый блок представляется в виде прямоугольника, например, 44 или 46 байт, а затем над ним построчно, по столбцам и побайтно производятся криптопреобразования.KASLTпредставляет собой аббревиатуру английских терминовKey Addition(добавление ключа),Substitution(табличная подстановка) иLinear Transposition( линейное перемешивание).
Rijndael(допускаются различные варианты произношения, например,англ. "Ра"йндэл",интерн."Рийнд'эл") описан авторами (бельгийцамиVincent Rijmen и Joan Daemen) как шифр с изменяемым размером блока и длиной ключа. Единственные налагаемые требования на эти два параметра – их кратность 32 битам. Размер блока далее определяется как Nb32, длина ключа –Nk32. Количество раундов сети , необхлдимое для стойкого шифрования зависит от двух параметров. Для конкурса AES в соответствии с требованиями авторы зафиксировали Nb = 4 (то есть шифруемый блок представляет собой квадрат 4 на 4 байта) и Nk = 4, 6, и 8. В этом случае количество раундов сети Nr соответственно равно 10, 12 и 14. Потенциально шифр может работать и с большими по размерам блоками.
К достоинства алгоритма необходимо отнести очень хорошее быстродействие на все платформах от 8- до 64-битных. Структура шифра позволяет использовать его при любых комбинациях размера блока и длины ключа – единственным необходимым изменением будет только смена количества раундов.
Возможность распараллеливания у Rijndaelочень высока по сравнению с другими конкурсантами. Коэффициент ускорения вычислений при наличии неограниченного (но разумного) числа процессоров в системе у Rijndaelдостигает 6-8 раз, что более чем в два раза выше ближайшего соперника.
Несомненно, что все перечисленные преимущества – заслуга в большей степени архитектуры KASLT по сравнению с ограниченными возможностями сети Файстеля. Однако ни в коем случае нельзя недооценивать и вклад авторов, т. е. конкретную специфику шифра. Во-первых, без оригинального построения внутри раунда оптимизация 32-битными табличными подстановками и высокое распараллеливание были бы невозможны. А во-вторых, огромная заслуга авторов в том, что на конкурс был представлен один из первых KASLT- шифров с надежно доказанной криптостойкостью при малом числе раундов, т. е. был найден вариант достижения "стойкость/быстродействие", что и у традиционной сети Файстеля, но на другой, гараздо более универсальной для вычислительной техники, архитектуре KASLT.
К недостаткам шифра относят необходимость разработки двух независимых процедур – шифрования и дешифрования (объединить их, как, например, в сети Файстеля, уже невозможно).