Алгоритмы шифрования DES и AES

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Южно-Уральский государственный университет»

(Научно-исследовательский университет)

Приборостроительный факультет (КТУР)

Кафедра «Безопасность информационных систем»

Алгоритмы шифрования DES и AES

РЕФЕРАТ

по дисциплине «Криптографические методы защиты информации»

                                                                  Проверил, преподаватель

                                                                  Н.Д. Зюляркина

                                                                  «__»______________2012 г.

                                                                  Авторы работы

                                                                  Студенты группы ПС-498

                                                                  И. Бойко

                                                                  Е. Васючков

                                                                  А. Гурьянов

                                                                  Д. Инкирёв

                                                                  С. Свиридов

                                                                  А.А. Солодихин

                                                                  И. Трофимов

                                                                  Д. Ширшков

                                                                  «27» декабря 2012 г.

                                                                  Реферат защищен с оценкой

                                                                  ________________________

                                                                 «__»_______________2012 г.

Челябинск 2012

Аннотация

                                                                  И. Бойко

                                                                  Е. Васючков

                                                                  А. Гурьянов

                                                                  Д. Инкирёв

                                                                  С. Свиридов

                                                                  А.А. Солодихин

                                                                  И. Трофимов

                                                                  Д. Ширшков

                                                                  Алгоритмы шифрования DES и AES

                                                                  Челябинск: ЮУрГУ, ПС-498, 18 с.,

                                                                  библиогр. список –  2 наим..

Цель реферата – рассказать о том, как работают алгоритмы шифрования DES и AES.

Задачи реферата – ознакомится с тем, когда появились и как устроены алгоритмы шифрования DES и AES.

Оглавление

Введение ................................................................................
............................... 4

1 Основные сведения (DES) ................................................................................ 5

   1.1 Шифрование ................................................................................
................ 6

   1.2 Расшифровка ................................................................................
.............. 11

2 Двукратный DES и атака "встреча посередине"............................................ 12

3 Трехкратный DES ................................................................................
.............13

4 Алгоритм Rijndael........................................................................
.....................15

Заключение ................................................................................
.......................... 17

Список используемых  источников .................................................................. 18

Введение

Одной из наиболее известных криптографических систем с закрытым ключом является DES – Data Encryption Standard. Эта система первой получила статус государственного стандарта в области шифрования данных. Она разработана специалистами фирмы IBM и вступила в действие в США 1977 году. Алгоритм DES широко использовался при хранении и передаче данных между различными вычислительными системами; в почтовых системах, в электронных системах чертежей и при электронном обмене коммерческой информацией. Стандарт DES реализовывался как программно, так и аппаратно. Предприятиями разных стран был налажен массовый выпуск цифровых устройств, использующих DES для шифрования данных. Все устройства проходили обязательную сертификацию на соответствие стандарту.

Несмотря на то, что уже некоторое время эта система не имеет статуса государственного стандарта, она по-прежнему широко применяется и заслуживает внимания при изучении блочных шифров с закрытым ключом.

1 Основные сведения (DES)

Длина ключа в алгоритме DES составляет 56 бит. Именно с этим фактом связана основная полемика относительно способности DES противостоять различным атакам. Как известно, любой блочный шифр с закрытым ключом можно взломать, перебрав все возможные комбинации ключей. При длине ключа 56 бит возможны 2⁵⁶ разных ключей. Если компьютер перебирает за одну секунду 1 000 000 ключей (что примерно равно 2²⁰), то на перебор всех 2⁵⁶ ключей потребуется 2³⁶ секунд или чуть более двух тысяч лет, что, конечно, является неприемлемым для злоумышленников.

Однако возможны более дорогие и быстрые вычислительные системы, чем персональный компьютер. Например, если иметь возможность объединить для проведения параллельных вычислений миллион процессоров, то максимальное время подбора ключа сокращается примерно до 18 часов. Это время не слишком велико, и криптоаналитик, оснащенный подобной дорогой техникой, вполне может выполнить вскрытие данных, зашифрованных DES за приемлемое для себя время.

Вместе с этим можно отметить, что систему DES вполне можно использовать в небольших и средних приложениях для шифрования данных, имеющих небольшую ценность. Для шифрования данных государственной важности или имеющих значительную коммерческую стоимость система DES в настоящее время, конечно, не должна использоваться. В 2001 году после специально объявленного конкурса в США был принят новый стандарт на блочный шифр, названный AES (Advanced Encryption Standard), в основу которого был положен шифр Rijndael (читается "Рейндал"), разработанный бельгийскими специалистами.

Основные параметры DES: размер блока 64 бита, длина ключа 56 бит, количество раундов – 16. DES является классической сетью Фейстеля (представляет собой определённую многократно повторяющуюся (итерированную) структуру, называющуюся ячейкой Фейстеля. При переходе от одной ячейки к другой меняется ключ) с двумя ветвями. Алгоритм преобразует за несколько раундов 64-битный входной блок данных в 64-битный выходной блок. Алгоритм использует комбинацию нелинейных и линейных преобразований. Шифруемые данные должны быть представлены в двоичном виде.

1.1 Шифрование

Общая структура DES представлена на рисунке 1. Процесс шифрования каждого 64-битового блока исходных данных можно разделить на три этапа:

1.                начальная подготовка блока данных;

2.                16 раундов "основного цикла";

3.                конечная обработка блока данных.

На первом этапе выполняется начальная перестановка 64-битного исходного блока текста, во время которой биты определенным образом переупорядочиваются.

На следующем (основном) этапе блок делится на две части (ветви) по 32 бита каждая. Правая ветвь преобразуется с использованием некоторой функции F и соответствующего частичного ключа, получаемого из основного ключа шифрования по специальному алгоритму преобразования ключей. Затем производится обмен данными между левой и правой ветвями блока. Это повторяется в цикле 16 раз.

Рисунок 1  Общая схема DES

Наконец, на третьем этапе выполняется перестановка результата, полученного после шестнадцати шагов основного цикла. Эта перестановка обратна начальной перестановке.

Рассмотрим более подробно все этапы криптографического преобразования по стандарту DES.

На первом этапе 64-разрядный блок исходных данных подвергается начальной перестановке  IP . В литературе эта операция иногда называется "забеливание" – whitening. При начальной перестановке биты блока данных определенным образом переупорядочиваются. Эта операция придает некоторую "хаотичность" исходному сообщению, снижая возможность использования криптоанализа статистическими методами.

Одновременно с начальной перестановкой блока данных выполняется начальная перестановка 56 бит ключа. Из рисунка 1  видно, что в каждом из раундов используется соответствующий 48-битный частичный ключ K_i. Ключи K_i получаются по определенному алгоритму, используя каждый из битов начального ключа по нескольку раз. В каждом раунде 56-битный ключ делится на две 28-битовые половинки. Затем половинки сдвигаются влево на один или два бита в зависимости от номера раунда. После сдвига определенным образом выбирается 48 из 56 битов. Так как при этом не только выбирается подмножество битов, но и изменяется их порядок, то эта операция называется "перестановка со сжатием". Ее результатом является набор из 48 битов. В среднем каждый бит исходного 56-битного ключа используется в 14 из 16 подключей, хотя не все биты используются одинаковое количество раз.

Далее выполняется основной цикл преобразования. Полученный после начальной перестановки 64-битовый блок IP(T) участвует в 16-циклах преобразования Фейстеля. При этом в каждом раунде (рисунок 2) получается промежуточное 64-битное значение, которое затем обрабатывается в следующем раунде.

Рисунок 2  Структура одного раунда DES

Левая и правая ветви каждого промежуточного значения обрабатываются как отдельные 32-битные значения. IP(T _i-1) разбивается на две части L _i-1, R _i-1, где:

L _i-1, R _i-1 — соответственно 32 старших битов и 32 младших битов блока T _i-1;

IP(T _i-1)= L _i-1R _i-1.

Вначале расширяем правую часть блока R _i-1 до 48 битов с помощью функции расширения E. E(R _i-1), используя таблицу, которая определяет перестановку плюс расширение на 16 битов. Эта операция приводит размер правой половины в соответствие с размером ключа. Кроме того, за счет выполнения этой операции быстрее возрастает зависимость всех битов результата от битов исходных данных и ключа (это называется "лавинным эффектом"). Чем сильнее проявляется лавинный эффект при использовании того или иного алгоритма шифрования, тем лучше.

После выполнения перестановки с расширением для полученного 48-битного значения выполняется операция XOR с 48-битным подключом K _i-1. Полученный после перестановки блок E(R _i-1) складывается по модулю 2 с ключом k _i-1 .

Затем полученное 48-битное значение подается на вход блока подстановки S (от англ. Substitution - подстановка), результатом которой является 32-битное значение. Подстановка выполняется в восьми блоках подстановки или восьми S-блоках (S-boxes).

E(R _i-1)   k _i-1 = B₁ B₂ B₃ B₄ B₅ B₆ B₇ B₈

При выполнении этой операции 48 битов данных делятся на восемь 6-битовых подблоков, каждый из которых по своей таблице замен заменяется четырьмя битами. Подстановка с помощью S-блоков является одним из важнейших этапом DES. Таблицы замен для этой операции специально спроектированы специалистами так, чтобы обеспечивать максимальную безопасность. В результате выполнения этого этапа получаются восемь 4-битовых блоков (B₁‘ B₂‘ B₃‘ B₄‘ B₅‘ B₆‘ B₇‘ B₈’), которые вновь объединяются в единое 32-битовое значение.

Далее полученное 32-битовое значение обрабатывается с помощью перестановки Р (от англ. Permutation – перестановка), которая не зависит от используемого ключа. Целью перестановки является максимальное переупорядочивание битов такое, чтобы в следующем раунде шифрования каждый бит с большой вероятностью обрабатывался другим S-блоком.

f (R _i-1, k _i-1) = P (B₁‘ B₂‘ B₃‘ B₄‘ B₅‘ B₆‘ B₇‘ B₈’)

И, наконец, результат перестановки объединяется с помощью операции XOR с левой половиной первоначального 64-битового блока данных.

T _i-1= L _i-1R _i-1 - результат (i-1) итерации, тогда

T _i= L _iR _i - результат i-ой итерации, где:

L _i = R _i-1

R _i =  L _i-1  f (R _i-1, k _i-1)

Левая половина L _i равна правой половине предыдущего вектора

L _i-1R _i-1. А правая половина R _i — это битовое сложение L _i-1 и f (R _i-1, k _i-1) по модулю 2.

После шестнадцати раундов шифрования выполняется конечная перестановка результата. Эта перестановка инверсна (обратна) начальной перестановке.

После выполнения всех указанных шагов блок данных считается полностью зашифрованным и можно переходить к шифрованию следующего блока исходного сообщения.

Разработчики DES приложили все силы для того, чтобы сделать процесс вскрытия зашифрованных сообщений как можно более трудным. Даже простое описание DES на бумаге выглядит достаточно сложным, что уж говорить про его программную реализацию! Разработать правильно и оптимально функционирующую программу полностью в соответствии с DES, наверно, под силу только опытным программистам. Некоторые трудности возникают при программной реализации, например, начальной перестановки или перестановки с расширением. Эти сложности связаны с тем, что первоначально планировалось реализовывать DES только аппаратно. Все используемые в стандарте операции легко выполняются аппаратными блоками, и никаких трудностей с реализацией не возникает. Однако через некоторое время после публикации стандарта разработчики программного обеспечения решили не стоять в стороне и тоже взяться за создание систем шифрования. В дальнейшем DES реализовывался и аппаратно, и программно.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.2 Расшифровка

Как известно, криптографическая система должна позволять не только зашифровать, но и расшифровать сообщения. Можно было бы ожидать, что процесс расшифрования по DES сильно запутан. Однако разработчики так подобрали различные компоненты стандарта, чтобы для зашифрования и расшифрования использовался один и тот же алгоритм. При расшифровании на вход алгоритма подается зашифрованный текст. Единственное отличие состоит в обратном порядке использования частичных ключей K_i. K₁₆ используется на первом раунде, K₁ — на последнем раунде.

После последнего раунда процесса расшифрования две половины выхода меняются местами так, чтобы вход заключительной перестановки был составлен из R₁₆ и L₁₆. Выходом этой стадии является незашифрованный текст.

2 Двукратный DES и атака "встреча посередине"

В настоящее время основным недостатком DES считается маленькая длина ключа. Простейшим способом усложнения процесса криптоанализа является использование двукратного шифрования с помощью одного и того же алгоритма с разными ключами. Если М – сообщение, К₁, К₂ – ключ, f – процесс шифрования по DES, а Е – зашифрованное сообщение, то можно записать

E = f (f (M,K₁), K₂),

то есть сначала блок шифруется одним ключом, затем получившийся шифр текст шифруется вторым ключом. Расшифровка проводится в обратном порядке ( f ^-1 – расшифровка по DES ):

E = f^-1 (f^-1 (E,K₂), K₁)

В этом случае длина ключа равна 56 * 2 = 112 бит, поэтому для обнаружения двойного ключа, которым зашифрован блок, потребуется в общем случае 2¹¹² попыток.

Исследовав эту проблему, американские ученые Меркл и Хеллман придумали способ проведения атаки по открытому тексту, который требует проведения не 2¹¹² попыток, а 2⁵⁷. (Меркл и Хеллман предложили эту схему против DES, но можно сделать обобщение на все блочные алгоритмы.)

Этот вариант атаки называется атака "встреча посередине". Он основан на следующем свойстве алгоритма. Мы имеем

E = f (f (M,K₁), K₂)

где М – сообщение, К₁, К₂ – ключ, f – процесс шифрования по DES, а Е – зашифрованное сообщение.

Тогда X = f (M, K₁) = f^-1 (E, K₂).

Атака состоит в следующем. Требуется, чтобы атакующий знал несколько пар "незашифрованный текст - соответствующий ему зашифрованный текст" (M, E). В этом случае вначале шифруется M для всех возможных 2⁵⁶ значений K₁. Этот результат запоминается в памяти ЭВМ. Запомненные данные упорядочиваются по значению Х. Следующий шаг состоит в дешифровании E, с применением всех возможных 2⁵⁶ значений K₂. Для каждого выполненного дешифрования ищется равное ему значение в первой таблице. Если такое значение найдено, то считается, что эти ключи могут быть правильными, и они проверяются для следующей известной пары "незашифрованный текст, зашифрованный текст". Максимальное количество попыток шифрования, которое, возможно, придется предпринять, равно 2*2ⁿ, или 2ⁿ⁺¹ (где n – длина ключа в каждом из этапов шифрования; для DES n равно 56 ).

Название "встреча посередине" дано атаке по той причине, что с одной стороны выполняется шифрование, с другой – расшифровка, и полученные посередине результаты сравниваются.

Для проведения атаки "встреча посередине" нужен большой объем памяти: 2ⁿ блоков (где n – длина ключа). Для DES, в котором используется 56-битовый ключ потребуется 2⁵⁶ 64-разрядных блоков памяти. Это составляет 2⁶² байт или 2²² Тбайт. Такой объем памяти достаточно трудно пока еще себе представить, кроме того, для проведения операций поиска в таком огромном массиве потребуется соответствующее время. Несмотря на это, двойное шифрование DES практически никогда не использовалась.

3 Трехкратный DES

В целях противодействия атаке "встреча посередине" было предложено использовать тройное шифрование с двумя ключами (рисунок 3).

Рисунок 3 Шифрование тройным DES с двумя ключами

В этом случае выполняется последовательность зашифрование-расшифрование-зашифрование ( EDE – от англ. Encrypt – Decrypt -Encrypt ). Этот процесс можно символически представить следующим образом:

E = f (f^-1 (f (M, K₁), K₂), K₁)

Отправитель сначала шифрует сообщение первым ключом, затем расшифрует вторым и, наконец, окончательно шифрует первым. Получатель сначала расшифровывает первым ключом, затем шифрует вторым и снова расшифровывает первым. При этом длина ключа увеличивается вдвое и составляет 112 бит.

В качестве более надежной альтернативы предлагается метод трехкратного шифрования, использующий три разных ключа – на каждом из этапов свой. Общая длина ключа в таком методе возрастает ( 112+56=168 ), но хранение нескольких сотен бит обычно не является проблемой.

Тройной DES является достаточно популярной альтернативой DES и используется при управлении ключами в стандартах ANSI X9.17 и ISO 8732. Некоторые криптоаналитики предлагают для еще более надежного шифрования использовать пятикратный DES с тремя или пятью ключами.

4 Алгоритм Rijndael

Алгоритм Rijndael (читается "Рейндал") разработан бельгийскими специалистами Joan Daemen (Proton World International) и Vincent Rijmen (Katholieke Universiteit Leuven). Этот шифр победил в проведенном Национальным институтом стандартов и техники (NIST) США конкурсе на звание AES (Advanced Encryption Standard) и в 2001 году был принят в качестве нового американского стандарта. Алгоритм Rijndael достаточно сложен для описания, поэтому рассмотрим только основные аспекты построения и особенности использования шифра.

Шифр Rijndael/AES (то есть рекомендуемый стандартом) характеризуется размером блока 128 бит, длиной ключа 128, 192 или 256 бит и количеством раундов 10, 12 или 14 в зависимости от длины ключа. В принципе, структуру Rijndael можно приспособить к любым размерам блока и ключа, кратным 32, а также изменить число раундов.

В отличие от шифров, предлагаемых DES и ГОСТ 28147-89, в основе Rijndael не лежит сеть Фейстеля. Основу Rijndael составляют так называемые линейно-подстановочные преобразования. Блок данных, обрабатываемый с использованием Rijndael, делится на массивы байтов, и каждая операция шифрования является байт-ориентированной. Каждый раунд состоит из трех различных обратимых преобразований, называемых слоями. Эти слои следующие.

1.       Нелинейный слой. На этом слое выполняется замена байтов. Слой реализован с помощью S-блоков, имеющих оптимальную нелинейность, и предотвращает возможность использования дифференциального, линейного и других современных методов криптоанализа.

2.       Линейный перемешивающий слой гарантирует высокую степень взаимопроникновения символов блока для маскировки статистических связей. На этом слое в прямоугольном массиве байтов выполняется сдвиг строк массива и перестановка столбцов.

3.       Слой сложения по модулю 2 с подключом выполняет непосредственно шифрование.

Шифр начинается и заканчивается сложением с ключом. Это позволяет закрыть вход первого раунда при атаке по известному тексту и сделать криптографически значимым результат последнего раунда.

В алгоритме широко используются табличные вычисления, причем все необходимые таблицы задаются константно, т.е. не зависят ни от ключа, ни от данных.

Необходимо отметить, что в отличие от шифров, построенных по сети Фейстеля, в Rijndael функции шифрования и расшифрования различны.

Алгоритм Rijndael хорошо выполняется как в программной, так и в аппаратной реализации. Rijndael имеет небольшие требования к памяти, что делает его пригодным для систем с ограниченными ресурсами. Надежность шифрования алгоритмом Rijndael очень высоко оценивается специалистами.

Заключение

В заключение хочется сказать, что DES уже морально устарел, он так же ещё может применяться в небольших и средних приложениях для шифрования данных, имеющих небольшую ценность.

Основные параметры DES: размер блока 64 бита, длина ключа 56 бит, количество раундов – 16.

В данный момент при длине ключа в 56 битов алгоритм считается не устойчивым к взлому.

Поскольку DES - федеральный стандарт США, его обычно не используют в программных продуктах, предназначенных для экспорта; а если и используют, то длина ключа не может превышать 56 битов.

AES - это альтернатива DES. На сегодняшний день, не замечено взломов этого алгоритма. Он применяется в WI-FI.

AES  характеризуется размером блока 128 бит, длиной ключа 128, 192 или 256 бит и количеством раундов 10, 12 или 14 в зависимости от длины ключа.

Список используемых  источников

1. http://ru.wikipedia.org/wiki/DES

2. http://www.intuit.ru/department/security/bcript/4/