на зашифрованное слово. Исходный открытый текст получается как реакция автомата, обратного к A, в его начальном состоянии на входное слово ß. Стойкость FAPKC основана на сложности решения задачи декомпозиции нелинейного обратимого с задержкой автомата с конечной памятью.
Цель данной работы — изучение вопросов эффективности аппаратной реализации шифра FAPKC на базе программируемых логических интегральных схем (ПЛИС). Проведены исследования по выявлению зависимости количества используемых ресурсов и производительности ПЛИС от параметров шифрсистемы (длины ключа, размерности линейного пространства, задержки шифрующего автомата, стойкости к различным атакам), а также сравнение ПЛИС-реализаций шифров FAPKC и RSA.
В частности, в САПР Xilinx WebPack ISE реализован оценочный вариант шифра FAPKC на ПЛИС Spartan-3 XC3S1500, для которого выявлена зависимость ресурсо-емкости и быстродействия от задержки, величина которой изменялась от 32 до 160. Оказалось, что увеличение задержки, а следовательно, длины ключа существенно влияет (в сторону увеличения) только на число используемых ресурсов ПЛИС, в то время как максимальная рабочая частота ПЛИС убывает незначительно. Проведено сравнение шифра RSA-1024 [4] с вариантом FAPKC той же стойкости, результатом которого является утверждение о том, что использование шифра FAPKC предпочтительней как с точки зрения производительности, так и с точки зрения числа используемых ресурсов. При этом коэффициент эффективности ПЛИС-реализации FAPKC (отношение производительности к количеству используемых ресурсов) на порядок лучше этого показателя для RSA. В целом, проведённые исследования показывают, что шифр FAPKC, реализованный на ПЛИС, пригоден для использования на практике и по сравнению с RSA имеет существенно более высокое быстродействие и меньшую ресурсо-емкость.
ЛИТЕРАТУРА
1. Bao F. and Igarashi Y. Break Finite Automata Public Key Cryptosystem // LNCS. 1995. No. 944. P. 147-158.
2. Dai Z. D., Ye D. F., and Lam K. Y. Weak Invertibility of Finite Automata and Cryptanalysis on FAPKC // LNCS. 1998. No. 1514. P. 227-241.
3. Tao R. J. Finite Automata and Application to Cryptography. Tsinghua University Press and Springer, 2008.
4. Wollinger T., Guajardo J., and Paar C. Cryptography on FPGAs: State of the art implementations and attacks // ACM Trans. Embedded Computing Systems. 2004. V. 3. Iss. 3. P. 534-574.
УДК 003.26
БЕЗОПАСНОСТЬ РЕЖИМОВ ШИФРОВАНИЯ ГОСТ 28147-89
И. А. Кукало
Отечественный алгоритм криптографического преобразования ГОСТ 28147-89 является единственным алгоритмом симметричного шифрования, разрешенным к использованию на территории РФ. ^андарт ГОСТ 28147-89 определяет алгоритм шифрования E : K х {0,1}64 ^ {0,1}64, три режима симметричного шифрования SE = (k,£, D) с соответствующими уравнениями шифрования е и расшифрования D, а также режим выработки имитовставки. С момента опубликования и перевода стандарта на английский язык в отечественной и зарубежной литературе появилось боль-
шое количество работ, посвященных анализу криптостойкости алгоритма шифрования ГОСТ 28147-89. Однако оценка криптостойкости режимов шифрования, определенных в стандарте, до настоящего времени не проводилась, хотя, согласно [1], данная задача является актуальной для современной криптографии.
Согласно [2], основным показателем криптостойкости режимов шифрования является возможность адаптивной атаки по выбранным открытым текстам (ЩВ-СРА). Данный показатель ориентирован на практическую оценку безопасности режима шифрования [3] против злоумышленника с ограниченными ресурсами.
Пусть БЕ = (к,£, П) —произвольный режим шифрования [2] и А — злоумышленник, который передает специальной подпрограмме-оракулу (ППО) множество пар сообщений (Ы0,1, Ы\,\),... , (М0,я, М1,д) одинаковой длины. ППО возвращает злоумышленнику набор шифртекстов С1,... ,Сд в соответствии с экспериментами:
— для Ехр^Е"сра"1 элемент С является шифртекстом сообщения М\^, 1 ^ г ^ д;
— для Ехр^Е"СРа"° элемент С г является шифртекстом сообщения М0,г, 1 ^ г ^ д. Определение 1. Определим возможность адаптивной атаки по выбранным открытым текстам как
А^1сра(А) = Рг[Ехр£еСра_1(А) = 1] - Рг[Ехр“"сра-°(А) = 1],
где Рг[Ехр^Е-сра-1 (А) = 1] —вероятность события, при котором злоумышленник А считает, что ППО зашифровал сообщения М1г для эксперимента Ехр^Е-сра-1(А); Рг[Ехр^£Сра-° (А) = 1] —вероятность события, при котором злоумышленник А считает, что ППО зашифровал сообщения М1г для эксперимента Ехр^Е-сра-°(А).
Режим шифрования является безопасным при Аёу^Е-сра (А) ^ 0. Определены значения А^^Е-сра для всех режимов работы ГОСТ 28147-89, обеспечивающих конфиденциальность обрабатываемой информации. Модель злоумышленника А определяется количеством а запросов к ППО. Безопасность алгоритма шифрования определяется показателем псевдослучайности функции шифрования А^^Т^В) [2]. Теоретические результаты приведены в табл. 1.
Таблица 1 Теоретические характеристики криптостойкости отечественных режимов шифрования
Название режима шифрования Теоретическое значение Л^^Е;"сра
Простой замены 1
Гаммирования Adv£r¿Sт(B)+2a2/264
Гаммирования с обратной связью + ^2/264
Практические значения А^^ЕЕ"сра приведены в табл. 2 и рассчитываются при допущении, что наилучшей атакой на алгоритм шифрования в ГОСТ является атака, основанная на парадоксе дней рождения [1].
Значение а соответствует количеству блоков данных, зашифрованных ППО, и позволяет определить продолжительность сессии защищенного обмена данными в системах криптографической защиты информации. Таким образом,
— для режима простой замены безопасным является шифрование данных размером в один блок, т. е. 64 бита, или 8 байт;
для режима гаммирования безопасным является шифрование данных размером 231 блоков, т. е. 16 Гбайт;
для режима гаммирования с обратной связью безопасным является шифрование данных размером -у/264/3 блоков, т. е. ~ 18,475 Гбайт.
Таблица 2
Практические характеристики криптостойкости отечественных
режимов шифрования
Название режима шифрования Практическое значение AdvSnEd-cpa Значение а, обеспечивающее криптостойкость
Простой замены 1 1
Гаммирования < 4ст2/264 < 231
Гаммирования с обратной связью < 3ct2/264 < у/264/3
ЛИТЕРАТУРА
1. Bellare M. and Rogaway P. Introduction to Modern Cryptography. 2005. http://cseweb. ucsd.edu/~mihir/cse207/w-se.pdf
2. Goldwasser S. and Bellare M. Lecture Notes on Cryptography. 2001. http://cseweb.ucsd. edu/~mihir/papers/gb.pdf
3. Katz J. and Yehuda L. Introduction to Modern Cryptography. Boca Raton: Chapman& Hall/CRC, 2008.
УДК 519.7
О ВЫБОРЕ СЛАЙДОВЫХ ПАР В КОРРЕЛЯЦИОННОМ МЕТОДЕ КРИПТОАНАЛИЗА ШИФРА KeeLoq
О. Н. Лебедева
KeeLoq — блочный шифр, широко используемый в системах бесключевого удалённого доступа. Шифр был разработан профессором Г. Каном и запатентован ЮжноАфриканской компанией «Nanoteq» в середине 80-х. В 1995 г. фирма «MICROCHIP» приобрела KeeLoq у фирмы «Nanoteq» вместе с лицензионными правами.
Алгоритм KeeLoq [1] имеет 64-битный ключ и осуществляет шифрование 32-битных блоков открытого текста. В нём используются два регистра сдвига: один — длины 64 без функции обратной связи (для выработки подключа), другой — регистр сдвига длины 32 с нелинейной функцией обратной связи NLF от пяти переменных (непосредственно для шифрования). Блок открытого текста помещается в текстовый регистр. Шифртекстом является состояние регистра после 528 циклов с использованием регистра ключа. Пусть Vn = GF^ — множество всех n-битных слов; Y(i) = (y^i,... , Уо**) Е Е V32 и K3i) = (fcgg ,... , y(i)) Е V63 — соответственно состояния текстового регистра и регистра ключа после i тактов. Каждый цикл шифрования может быть описан следующим образом:
— вычисление очередного бита: ^ = NLF(y31, у2б , у2о , У2**, У3**) ® У 1(5 ® Уо** ® ^;
— сдвиг состояния текстового регистра: R3i+1) = (^,y31,... , У1*^);
— сдвиг состояния регистра ключа: K3 i+1) = (&0*\ ^бз,... , kl**).
Первый криптоанализ KeeLoq был опубликован только в феврале 2007 г. А. Богдановым [1]. Эта атака основана на слайдовой технике и линейном приближении нелинейной булевой функции, использующейся в KeeLoq. Криптоанализ имеет временную