У зв'язку із прогресом в удосконаленні методів виконання криптоаналітичних атак до кандидатів були пред'явлені підвищені вимоги [79]. Для БСШ розглядалося три класи безпеки.
1. Високий рівень безпеки – довжина блоку lб=128 біт, довжина ключа lк=256 біт.
2. Нормальний рівень безпеки – довжина блоку lб=128 біт, довжина ключа lк=128 біт.
3. Задовільний рівень безпеки – довжина блоку lб=64 біт, довжина ключа lк=128 біт.
Спочатку були допущені наступні крипто алгоритми блокового перетворення: CS, Hierocrypt-L1, IDEA, Khazad, Misty1, SAFER++ (задовільного рівня стійкості), Nimbus, Anubis, Camellia, Grand Cru, Hierocrypt-3, Noekeon, Q, RC6, SC2000, SAFER++, NUSH і SHACAL-1 (SHACAL-2) (нормального й високого рівня стійкості).
У першій фазі конкурсу NESSIE до алгоритмів при відборі пред'являлися наступні критерії:
1. Захищеність алгоритмів від криптоаналітичних атак. При цьому основними методами криптоаналізу є: диференціальний криптоаналіз, розширення для диференціального криптоаналізу, пошук найкращої диференціальної характеристики, лінійний криптоаналіз; інтерполяційне вторгнення; вторгнення із частковим угадуванням ключа; вторгнення з використанням зв'язаного ключа; вторгнення на основі обробки збоїв; пошук лазівок.
2. Статистична безпека криптографічних алгоритмів.
3. Особливості конструкції й відкритість структури. Представлені криптоалгоритмы повинні володіти зрозумілої, легко аналізованою структурою й ґрунтуватися на надійних математичних і криптографічних принципах.
4. Стійкість при модифікації. Всі кандидати перевіряються на стійкість до різного роду модифікаціям: стійкість до криптоаналітичних атак при зменшенні числа циклів, скороченні компонентів використовуваних алгоритмом і т.п.
5. Обчислювальна складність (швидкість) зашифрування/розшифрування.
6. Складність програмної, апаратної й програмно-апаратної реалізації повинна оцінюватися обсягом пам'яті, як при програмної, так і апаратної реалізації. У тому числі, при програмної - кількістю необхідної оперативної пам'яті, розміром вихідного коду, швидкістю роботи програми на різних платформах при реалізації на відомих мовах програмування. При апаратній оцінюється кількістю вентилів і швидкістю в Мб/с.
7. Універсальність криптоалгоритму: можливість роботи з різними довжинами початкових ключів і інформаційних блоків; безпека реалізації на різних платформах і додатках; можливість використання криптографічного алгоритму в основних режимах роботи БСШ.
Наші дослідження БСШ проекту NESSIE представлені в статті [80] і рядом доповідей [203, 204, 205] з метою визначити перспективні крипто алгоритми, які можуть бути рекомендовані до використання на Україні. У перерахованих роботах приводиться повний аналіз атак і досліджень всіх БСШ представлених на конкурсі. Далі сконцентруємося тільки на тих крипто алгоритмах, які мали недоліки в схемах розгортання ключів, що приводять до можливості атакувати шифр.
Результати конкурсу показали, що серед представлених БСШ у категорії задовільного рівня безпеки переможцем виявився Misty1 [183]. На всі інші крипто алгоритми були знайдені або ефективні атаки, або вони мали низьку швидкість криптографічних перетворень. Відзначимо, що більшість шифрів із цієї категорії мали недоліки в схемах розгортання ключів, пов'язані з можливістю провести яку-небудь із атак на повно циклову версію криптоалгоритму [138]: 3-DES, IDEA, Hierocrypt-L1.
Для криптоалоритмів нормального й високого рівня безпеки зложилася наступна ситуація: Noekeon [136], Hierocrypt-L3 [133] і SHACAL-1 [133] уразливі до атак зв'язані ключі й ковзання. Серед БСШ на які були знайдені атаки зв'язані зі схемою розгортання ключів, але не на повно циклову версію, відзначимо крипто алгоритм Rijndael [179, 180]. Переможцями конкурсу серед криптоалгоритмов нормального й високого рівня безпеки були оголошені Camellia, Rijndael і SHACAL-256. На всі інші крипто примітиви були знайдені аналітичні атаки, більше ефективні, чим «грубої» сили.
Відзначимо, що вперше ставилися вимоги не тільки високої криптостійкості, але і якісних характеристик 3(7, наприклад швидкості. Результати досліджень показали [79], що крипто алгоритми ы Grandcru і SC2000 мають низькі показники швидкості, внаслідок чого вони не пройшли в другий тур. Найбільш швидкими серед алгоритмів є БСШ RC6 і Rijndael, які позитивно оцінені ще при проведенні конкурсу AES.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.