Сравнение стандартов симметричного шифрования РФ и США

Введение

стандарт шифрование алгоритм

Второго октября 2000 года департамент торговли США подвел итоги конкурса по выработке нового стандарта шифрования США. Победителем стал алгоритм «Rijndael» [1], разработанный бельгийскими криптографами. Конкурс был объявлен двумя годами раньше национальным институтом стандартов и технологии США, входящим на правах агентства в департамент торговли. Первоначально было выдвинуто 15 шифров-конкурсантов, после подведения промежуточных итогов осталось 5 финалистов, из которых и был выбран кандидат на утверждение в качестве стандарта. Новый шифр призван заменить алгоритм DES, являющийся стандартом шифрования США с 1977 года. был разработан в исследовательской лаборатории фирмы IBM в первой половине 70-х годов и принадлежит к линии шифров, берущих свое начало с алгоритма «Люцифер», созданного там же несколькими годами раньше. Эта архитектура, получившая название «сеть Файстеля», занимала до сегодняшнего дня доминирующее положение в криптографии: к ней относится большинство современных шифров, включая отечественный стандарт алгоритм ГОСТ28147-89 [2,3]. В настоящей работе выполнен сравнительный анализ шифров ГОСТ28147-89 и «Rijndael», и на их примере сделано сравнение традиционного и более современного подходов к построению блочных шифров [4].

Прежде чем перейти непосредственно к сравнению шифров, необходимо сделать несколько замечаний об архитектурных решениях, характерных для шифров 70-х годов. В то время микроэлектроника находилась в самом начале своего пути к сегодняшнему потрясающему уровню развития, было налажено промышленное производство микросхем только малой и средней степени интеграции, и поэтому основной доминантой в проектировании шифров являлось обеспечение приемлемой стойкости при жестких требованиях к сложности реализации. В настоящее время возможности технической базы по реализации шифров возросли на несколько порядков и пропорционально увеличились возможности их криптоанализа. В связи с этим первоначальные требования к экономичности реализации шифров перестали быть доминирующим фактором, в то время как требования к их стойкости существенно возросли. Именно на фоне этих процессов и происходят современные изменения в подходах к построению блочных шифров с секретным ключом.

1. Сравнение общих характеристик алгоритмов

Сравнительные характеристики алгоритмов ГОСТ и Rijndael приведены в следующей ниже таблице 1.

Таблица 1. Сравнительные характеристики алгоритмов ГОСТ28147-89 и Rijndael.

В отличие от ГОСТа, размер шифруемого блока и размер ключа в алгоритме Rijndael могут изменяться, что допускается использованной в нем архитектурой «квадрат». Данное свойство позволяет варьировать стойкость и быстродействие алгоритма в зависимости от внешних требований к реализации в некоторых пределах, - однако, не очень широких, - число раундов, а вместе с ним и быстродействие, в крайних случаях различаются в 1.4 раза.

.Сравнение общих архитектурных принципов

Криптоалгоритм ГОСТ28147-89, как и большинство шифров «первого поколения», разрабатывавшихся в 70-е годы и в первой половине 80-х, базируется на архитектуре «сбалансированная сеть Файстеля» (balanced Feistel network) [5]. Основным принципом этой архитектуры является то, что весь процесс шифрования состоит из серии однотипных раундов. На каждом раунде шифруемый блок T делится на две части (T0,T1), одна из которых модифицируется путем побитового сложения по модулю 2 со значением, вырабатываемом из другой части и ключевого элемента раунда с помощью функции шифрования. Между раундами части блока меняются местами, и, таким образом, на следующем раунде текущий измененный блок станет неизменным и наоборот. Схема алгоритма шифрования по ГОСТ 28147-89 приведена на рисунке 1(а). Подобная архитектура позволяет легко получить обратимое криптографическое преобразование из сложной и, возможно необратимой, функции шифрования. Важной особенностью этого подхода является то, что за раунд шифруется ровно половина блока.

Шифр Rijndael имеет принципиально другую архитектуру, получившую название «квадрат» (Square) по имени первого выполненного в ней шифра,- он был разработан теми же специалистами несколькими годами раньше. Эта архитектура базируется на прямых преобразованиях шифруемого блока, который представляется в форме матрицы байтов. Зашифрование также состоит из серии однотипных шагов, раундов, однако на каждом раунде блок преобразуется как единое целое и не остается неизменных частей блока. Таким образом, за раунд шифруется полный блок, следовательно, для обеспечения сопоставимой сложности и нелинейности преобразования таких шагов требуется вдвое меньше по сравнению с сетью Файстеля. Каждый раунд заключается в побитовом сложении по модулю 2 текущего состояния шифруемого блока и ключевого элемента раунда, за которым следует сложное нелинейное преобразование блока, сконструированное из трех более простых преобразований, подробно рассмотренных в следующем разделе. Схема алгоритма Rijndael приведена ниже на рисунке 1(б).