Симетричні криптографічні перетворення. Класифікація симетричних криптоперетворень, страница 3

До кінця 90-х складається ситуація, у якій використовувані в несекретних державних і комерційних установах засобу захисту інформації морально застарівають, у виді швидкого розвитку обчислювальної техніки й безлічі різних, високоефективних методів криптоаналізу блокових симетричних шифрів, що представляють для них потенційну погрозу.  Криптографічних алгоритмів, що пропонуються до цього різні варіанти, не показали необхідного рівня безпеки, щоб стати заміною існуючих стандартів шифрування даних. Це привело до одному з найважливіших подій у світі криптографії – конкурсу AES (Advanced Encryption Standard) [7]. У січні 1997 року NIST оголосив про початок конкурсу на новий стандарт шифрування 21-го століття, спрямований на вибір нового стандарту блокового симетричного шифрування (БСШ). У результаті виконання цього проекту як новий стандарт був обраний алгоритм Rijndael [130] (і на його основі прийнятий стандарт США FIPS-197). Уперше була зібрана воєдино безліч різних криптографічних алгоритмів з різною архітектурою й піддані цілеспрямованому, детальному аналізу. Фактично оформилися вимоги, яким повинні задовольняти сучасні БСШ. Також конкурс AES дозволив виділити проблему, що полягає в недостатній увазі розроблювачів до проектування схем розгортання ключів. У представлені на конкурсі БСШ спостерігається тенденція відходу від схем розгортання ключів DES-подібного типу [126, 187]. Але відсутність принципів проектування схем розгортання ключів привело до того, що розроблювачі шифрів керуються суб'єктивним розумінням побудови схем розгортання ключів, як треба зі специфікацій БСШ [7]. У підсумку більша частина шифрів виявилися уразливими до атак на схеми розгортання ключів. Так, у проекті AES брали участь БСШ MAGENTA, CRYPTON, Deal, Rijndael, SAFER+, DFC, CAST, E2, FROG, HPC, LOKI97, MARS, RC6, Serpent, Twofish [7]. Більшість із перерахованих криптоалгоритмов були уразливі до атак на схеми розгортання ключів: SAFER+ [178], CRYPTON [58, 151], DFC [104, 105, 157], FROG [170, 201], HPC [107, 108, 109], MAGENTA [112, 113]. Для інших шифрів атаки на схеми розгортання ключів були реалізовані на неповну кількість ітерацій, але виявилися найбільш ефективними в порівнянні з атаками на циклову функцію алгоритму. Прикладом може служити БСШ Rijndael, для якого описуються 9 циклова атака зв'язані ключі (версія алгоритму з довжиною ключа  й кількістю ітерацій ), запропонована Фергусоном [180] і розширена Square-атака С. Люка [179] на 7-ми цикловий варіант алгоритму. Наші дослідження БСШ Rijndael представлені статтею [197], де проводиться пошук схованих аномалій у розгорнутому ключі. Дійсно, нами було підтверджене існування сильних лінійних зв'язків між бітами циклових підключів, однак використання циклової функції з високими криптографічними властивостями, дозволяє компенсувати ці вади вже після чотирьох ітерацій. У роботах [168, 169] показано, що в БСШ із «криптографически слабкою» схемою розгортання ключів (на яку існує атака), необхідно використати підвищену кількість ітерацій, і приділяти особливу увагу розробці циклової функції, що задовольняє вимогам високої криптостійкості. Очевидно, що розробка схеми формування циклових підключів з високими криптографічними властивостями, дозволить знизити рівень витрат на проектування циклової функції й зменшити кількість ітерацій, як показано в останніх роботах Кнудсена [202], що вплине на продуктивність БСШ. Крім того, «криптографически сильна» схема розгортання ключів підвищує стійкість до лінійного й диференціальному криптоаналізу [126, 202].

Вперше при проведенні конкурсу AES була зроблена спроба класифікувати існуючі схеми розгортання ключів по основних характеристиках: по можливості відновити циклові ключі або секретний ключ із умови, що криптоаналітику відомо біти деякого циклового під ключа; по можливості обчислювати підключи «нальоту» і можливість (існування) крипто аналітичної  атаки на алгоритм. Великий внесок у визначення вимог до схем розгортання ключів внесли розроблювачі шифру Е2 [158, 159].

Необхідність удосконалювання національних засобів КЗИ привела до формування аналогічних проектів у Європі (NESSIE) і Японії (CRYPTREC). Проект NESSIE був початий в 2000 році під егідою Європейської комісії. Основними завданнями проекту NESSIE був відбір кращих десяти криптографічних примітивів.