WikiDer > Шифр Hasty Pudding
Общий | |
---|---|
Дизайнеров | Ричард Шрёппель |
Впервые опубликовано | Июнь 1998 г. |
Деталь шифра | |
Ключевые размеры | Переменная |
Размеры блоков | Переменная |
В Поспешный шифр пудинга (HPC) - размер блока переменного блочный шифр разработано Ричард Шрёппель, который был неудачным кандидатом в конкурсе по отбору НАС. Расширенный стандарт шифрования (AES). Он имеет ряд необычных свойств для блочного шифра: его размер входного блока и длина ключа являются переменными, и он включает дополнительный входной параметр, называемый «приправой», для использования в качестве вторичного, несекретного ключа. Шифр Hasty Pudding был единственным кандидатом на AES, разработанным исключительно криптографами США.[1][2]
Шифр Hasty Pudding находится в всеобщее достояние.[3]
Шифр
Шифр Hasty Pudding состоит из 5 различных суб-шифров:[4]
HPC-Tiny | 0–35 бит |
HPC-Short | 36–64 бит |
HPC-средний | 65-128 бит |
HPC-Long | 129–512 бит |
HPC-расширенный | 513+ бит |
Все алгоритмы шифрования Hasty Pudding используют внутри 64-битные слова. Шифр предназначен для работы на 64-битной машины, который может легко выполнять простые операции с 64-битными словами.
Ключевое расширение
Шифр Hasty Pudding может принимать ключ из любого количества битов для любого из пяти подшифров. Сам шифр использует ключевой стол 16 384 бит (256 64-битных слов). Чтобы получить таблицу ключей из ключа, функция расширения ключа использует следующий алгоритм:[4]
- Первые три слова, KX[0], KX[1], KX[2] устанавливаются на основе констант, субшифра и длины ключа. KX[1] вычисляется с умножением; другие задействованные операции - это сложение и битовый сдвиг.
- Каждое последующее слово, KX[я] определяется из трех предыдущих слов эффективной рекурсивной формулой.
- Биты ключа подвергаются операции XOR с битами таблицы ключей, начиная с KX[0], пока не будут использованы все биты ключа. (Для ключей длиннее 8192 бит используется более сложная процедура.)
- Сделано несколько проходов по ключевой таблице. Каждый раз к каждому слову ключевой таблицы последовательно применяется «функция перемешивания». Функция перемешивания использует восемь внутренних переменных и 14 логических битовых операций, 5 битовых сдвигов и 14 сложений / вычитаний. Каждое использование функции перемешивания изменяет одно слово в ключевой таблице на основе его предыдущего значения, значений некоторых других слов и внутренних переменных функции перемешивания. (По умолчанию - 3 прохода.)
Шифрование и дешифрование
Каждая из подшифр использует свой алгоритм, но есть определенные сходства. Для определения зашифрованного текста используются три входа: открытый текст (в нескольких 64-битных словах плюс один «фрагмент»), специя (восемь 64-битных слов со значением по умолчанию 0) и таблица ключей. Операции внутри шифра состоят из перемешивание, который объединяет внутренние переменные различными способами со значениями из ключевой таблицы и специй через равные промежутки времени. HPC-Short дополнительно использует две фиксированные перестановки, а HPC-Tiny состоит из множества особых поддиапазонов.
Расшифровка включает в себя отмену шагов шифрования один за другим. Многие операции легко отменяются (например, s0 = s0 + s1 отменяется вычислением s0 = s0 − s1). Другие операции сложнее отменить. Некоторые из задействованных идей включают:
- Операция вроде Икс = Икс (Икс >> 17) отменяется в два этапа: (1) Икс = Икс (Икс >> 17), за которым следует (2) Икс = Икс (Икс >> 34).
- Шифр использует зависимый от значения поиск в ключевой таблице. Их можно отменить, так как поиск зависит только от последних 8 бит переменной, и когда возникает необходимость найти значение из таблицы ключей при расшифровке, последние 8 бит значения в определенной более ранней точке в вычисления предсказуемы, даже если все эти операции невозможно отменить без значения ключевой таблицы. Например, если поиск k основан на последних 8 битах Икс, а затем, когда мы хотим отменить такой шаг, как Икс = Икс (k << 8), мы можем найти k отметив, что последние 8 бит Икс не изменяются этой операцией.
Шифр Hasty Pudding также может использоваться для шифрования значений в диапазоне, которые не переводятся в строки с целым числом бит; например, он может зашифровать число от 0 до N, создав другое число от 0 до N. Он делает это, используя наименьший подшифр, который может обрабатывать ввод как битовую строку, и многократно применяя его к входу как битовую строку, пока результат не окажется в правильном диапазоне.[4]
Спектакль
Шреппель утверждал, что шифр Hasty Pudding был самым быстрым кандидатом на AES в 64-битной архитектуре;[5] Schroeppel утверждал, что он был вдвое быстрее своего ближайшего конкурента, DFC, и в три раза быстрее, чем другие кандидаты, и что его производительность на 32-битной машине была адекватной.[5] Комментарии других не подтверждают эту точку зрения; например, Шнайер и др. оценили шифр Hasty Pudding на 4-е место (376 циклов) на 64-битной машине, хотя для Rijndael и Twofish, производительность была только оценочной.[6] На 32-битной Pentium, Шифрование Hasty Pudding было оценено Schneier et al. при 1600 тактовых циклах, 10-е место среди 15 кандидатов.[6] Schneier et al. И Schroeppel отметили, что скорость шифрования будет значительно снижена на 32-битной машине из-за интенсивного использования 64-битных операций, особенно битовых сдвигов.[3][6]
Настройка ключа шифра Hasty Pudding была оценена как относительно медленная; 120000 циклов на Pentium.[6]
Шифр подвергся критике за его работу на смарт-карты. В частности, в некоторых комментариях указывается на сложность хранения более 2 КБ ОЗУ для ключевой таблицы.[7]
Дальнейшая работа
Результаты атаки на шифр Hasty Pudding относительно немногочисленны. В начале процесса AES Давид Вагнер отметил, что относительно большие классы ключей Hasty Pudding эквивалентны тем, что ведут к одной и той же таблице ключей.[8] Это было расширено D'Halluin et al., Которые отметили, что для 128-битных ключей примерно 2120 ключи слабые ключи что у каждого по 230 эквивалентные ключи каждый.[9] В ответ на эту атаку Шрёппель изменил алгоритм расширения ключа, включив в него один дополнительный шаг.[4]
Несмотря на относительное отсутствие криптоанализа, шифр Hasty Pudding подвергался критике за его сложную для понимания конструкцию и отсутствие обоснования результатов исследований.[8][10] Schroeppel предложил бутылку Шампанское Dom Pérignon к лучшей статье, представляющей прогресс по шифру Hasty Pudding.[3] Он не прошел второй раунд рассмотрения для AES.[11]
Шифр Hasty Pudding считается первым настраиваемый блочный шифр.[12]
Рекомендации
- ^ Эли Бихам, Примечание по сравнению кандидатов AES, Апрель 1999 г., общественный комментарий к AES.
- ^ Сьюзан Ландау, Безопасность связи для XXI века: передовой стандарт шифрования, Уведомления AMS, vol. 47, номер 4, 2000 г.
- ^ а б c Рич Шроппель и Хилари Орман, Обзор шифра Hasty Pudding Cipher, Июль 1998 г.
- ^ а б c d Schroeppel, Rich (Июнь 1998 г.), Спецификация шифра Hasty Pudding (отредактировано в мае 1999 г.), заархивировано оригинал на 2011-07-17, получено 2009-06-10
- ^ а б Рич Шрёппель, Шифр поспешного пудинга: год спустя, дата обращения 9.01.2008.
- ^ а б c d Брюс Шнайер, Джон Келси, Дуг Уайтинг, Давид Вагнер, Крис Холл, и Нильс Фергюсон, Сравнение производительности представленных AES, Вторая конференция кандидатов в AES, 1999.
- ^ Эманойл Данелюк, Публичный комментарий кандидатов AES, Февраль 1999 г.
- ^ а б Давид Вагнер, Эквивалентные ключи для HPC, выступление на 2-й конференции AES, Рим, Март 1999 г.
- ^ Карл Д'Халлен, Герт Бийненс, Барт Пренил, и Винсент Реймен, Эквивалентные ключи HPC, Достижения в криптологии - Труды ASIACRYPT 1999, 1999.
- ^ Оливье Бодрон, Анри Жильбер, Луи Гранбулан, Хелена Хандшу, Антуан Жу, Фонг Нгуен, Фабрис Нуилхан, Дэвид Пойнтшеваль, Томас Порнин, Гийом Пупар, Жак Стерн, и Серж Воденэ, Отчет о кандидатах в AES, Вторая конференция AES, март 1999 г.
- ^ Джеймс Нечватал, Элейн Баркер, Лоуренс Бэшем, Уильям Берр, Моррис Дворкин, Джеймс Фоти и Эдвард Робак, Отчет о разработке усовершенствованного стандарта шифрования (AES), NIST официальный релиз, 2 октября 2000 г.
- ^ Моисей Лисков, Рональд Ривест, и Давид Вагнер, Настраиваемые блочные шифры, в «Достижения в криптологии - Труды CRYPTO '02, 2002».