Blowfish

Шаблон:Карточка блочного шифра Blowfish (произносится [бло́уфиш]) — криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа. Разработан Брюсом Шнайером в 1993 году. Представляет собой сеть ФейстеляШаблон:SfnШаблон:Sfn. Выполнен на простых и быстрых операциях: XOR, подстановка, сложениеШаблон:Sfn. Является незапатентованным и свободно распространяемым.

До появления Blowfish существовавшие алгоритмы были либо запатентованными, либо ненадёжными, а некоторые и вовсе держались в секрете (например, Skipjack). Алгоритм был разработан в 1993 году Брюсом Шнайером в качестве быстрой и свободной альтернативы устаревшему DES и запатентованному IDEA. По заявлению автора, критериями проектирования Blowfish былиШаблон:SfnШаблон:Sfn:

• скорость (шифрование на 32-битных процессорах происходит за 26 тактов);
• простота (за счёт использования простых операций, уменьшающих вероятность ошибки реализации алгоритма);
• компактность (возможность работать в менее, чем 5 Кбайт памяти);
• настраиваемая безопасность (изменяемая длина ключа).

Алгоритм состоит из двух частей: расширение ключа и шифрование данных. На этапе расширения ключа исходный ключ (длиной до 448 бит) преобразуется в 18 32-битовых подключей и в 4 32-битных S-блока, содержащих 256 элементов. Общий объём полученных ключей равен ${\displaystyle (18+256*4)*32=33344}$ бит или ${\displaystyle 4168}$ байтШаблон:SfnШаблон:Sfn.

• секретный ключ ${\displaystyle K}$ (от 32 до 448 бит)
• 32-битные ключи шифрования ${\displaystyle P_1-P_{18}}$
• 32-битные таблицы замен ${\displaystyle S_1-S_4}$:

  ${\displaystyle S_1[0],S_1[1],...,S_1[255]}$

  ${\displaystyle S_2[0],S_2[1],...,S_2[255]}$

  ${\displaystyle S_3[0],S_3[1],...,S_3[255]}$

  ${\displaystyle S_4[0],S_4[1],...,S_4[255]}$

Функция F(x) принимает на вход блок размером в 32 бита и проделывает с ним следующие операцииШаблон:Sfn:

1. 32-битный блок делится на четыре 8-битных блока ${\displaystyle (X_1,X_2,X_3,X_4)}$, каждый из которых является индексом массива таблицы замен ${\displaystyle S_1-S_4}$
2. значения ${\displaystyle S_1[X_1]}$ и ${\displaystyle S_2[X_2]}$ складываются по модулю ${\displaystyle 2^{32}}$, после складываются по модулю ${\displaystyle 2}$ с ${\displaystyle S_3[X_3]}$ и, наконец, складываются с ${\displaystyle S_4[X_4]}$ по модулю ${\displaystyle 2^{32}}$.
3. Результат этих операций — значение ${\displaystyle F(x)}$.

${\displaystyle F(X_1,X_2,X_3,X_4)=((((S_1[X_1]+S_2[X_2])mod{2}^{32})\oplus S_3[X_3])+S_4[X_4])mod{2}^{32}}$

Blowfish представляет собой Сеть Фейстеля, состоящую из 16 раундов. Алгоритм шифрования блока

${\displaystyle X}$

размером 64 бит выглядит следующим образомШаблон:SfnШаблон:Sfn:

1. Разделение входного блока ${\displaystyle X}$ на 2 32-битных блока ${\displaystyle L_0,R_0}$
2. Для ${\displaystyle i=1...16:}$

   ${\displaystyle L_i=L_{i-1}\oplus P_i}$

   ${\displaystyle R_i=R_{i-1}\oplus F(L_i)}$

3. После 16 раунда ${\displaystyle L_{16},R_{16}}$ меняются местами:

   ${\displaystyle R_{16}\leftleftarrows L_{16}}$

   ${\displaystyle L_{16}\leftleftarrows R_{16}}$

4. К получившимся блокам прибавляются ${\displaystyle P_{17}}$ и ${\displaystyle P_{18}}$

   ${\displaystyle L_{17}=L_{16}\oplus P_{18}}$

   ${\displaystyle R_{17}=R_{16}\oplus P_{17}}$

5. Выходной блок ${\displaystyle Y}$ равен конкатенации (объединению) ${\displaystyle L_{17}}$ и ${\displaystyle R_{17}}$.

Разделён на 2 этапаШаблон:SfnШаблон:Sfn:

1. Подготовительный — формирование ключей шифрования по секретному ключу.
   • Инициализация массивов P и S при помощи секретного ключа K
     1. Инициализация ${\displaystyle P_1-P_{18}}$ фиксированной строкой, состоящей из шестнадцатеричных цифр мантиссы числа пи Шаблон:Wayback.
     2. Производится операция XOR над ${\displaystyle P_1}$ с первыми 32 битами ключа ${\displaystyle K}$, над ${\displaystyle P_2}$ со вторыми 32-битами и так далее.
        Если ключ ${\displaystyle K}$ короче, то он накладывается циклически.
   • Шифрование ключей и таблиц замен
     1. Алгоритм шифрования 64-битного блока, используя инициализированные ключи ${\displaystyle P_1-P_{18}}$ и таблицу замен ${\displaystyle S_1-S_4}$, шифрует 64 битную нулевую (0x0000000000000000) строку. Результат записывается в ${\displaystyle P_1}$, ${\displaystyle P_2}$.
     2. ${\displaystyle P_1}$ и ${\displaystyle P_2}$ шифруются изменёнными значениями ключей и таблиц замен. Результат записывается в ${\displaystyle P_3}$ и ${\displaystyle P_4}$.
     3. Шифрование продолжается до изменения всех ключей ${\displaystyle P_1-P_{18}}$ и таблиц замен ${\displaystyle S_1-S_4}$.
2. Шифрование текста полученными ключами и F(x), с предварительным разбиением на блоки по 64 бита. Если невозможно разбить начальный текст точно на блоки по 64 бита, используются различные режимы шифрования для построения сообщения, состоящего из целого числа блоков. Суммарная требуемая память 4168 байт.

Дешифрование происходит аналогичноШаблон:SfnШаблон:Sfn, только ${\displaystyle P_1-P_{18}}$ применяются в обратном порядке.

Нет ничего особенного в цифрах числа пиШаблон:SfnШаблон:Sfn. Данный выбор заключается в инициализации последовательности, не связанной с алгоритмом, которая могла бы быть сохранена как часть алгоритма или получена при необходимости (Пи (число)). Как указываетШаблон:Sfn Шнайер: «Подойдёт любая строка из случайных битов — цифры числа e, RAND-таблицы или биты с выхода генератора случайных чисел.»

S-блоки называются слабыми, если существуют такие ${\displaystyle i,j,N=1,2,3,4:S_N[i]=S_N[j]}$. Ключ, генерирующий слабые S-блоки, тоже называется слабым. Шаблон:Iw указалШаблон:Sfn на наличие небольшого класса слабых ключей (генерирующих слабые S-блоки). Вероятность появления слабого S-блока равна ${\displaystyle 2^{-15}}$. Он также рассмотрел упрощенный вариант Blowfish, с известной функцией F(x) и слабым ключом. Для этого варианта требуется ${\displaystyle 3*2^{2+7*[(t-2)/2]}\approx 2^{3+7*[(t-2)/2]}}$ выбранных открытых текстов (t — число раундов, а символы [] означают операцию получения целой части числа). Эта атака может быть использована только для алгоритма с ${\displaystyle t\le 7}$. Для ${\displaystyle t=7}$ требуется ${\displaystyle 2^{24}}$ открытых текстов, причём для варианта с известным F(x) и случайным ключом требуется ${\displaystyle 2^{48}}$ открытых текстов. Но данная атака неэффективна для Blowfish с 16 раундами (${\displaystyle t=16}$).

Невозможно заранее определить, является ли ключ слабым. Проводить проверку можно только после генерации ключа.

Криптостойкость можно настраивать за счёт изменения количества раундов шифрования (увеличивая длину массива P) и количества используемых S-блоков. При уменьшении используемых S-блоков возрастает вероятность появления слабых ключей, но уменьшается используемая память. Адаптируя Blowfish для 64-битной архитектуры, можно увеличить количество и размер S-блоков (а следовательно и память для массивов P и S), а также усложнить F(x), причём для алгоритма с такой функцией F(x) невозможны вышеуказанные атаки.

Модификация F(x): на вход подается 64-битный блок, который делится на восемь 8-битных блоков (X1-X8). Результат вычисляется по формуле ${\displaystyle F(X1,..,X8)=(((S1[X1]⊞S2[X2])\oplus (S3[X3]⊞S4[X4]))⊞((S5[X5]⊞S6[X6])\oplus (S7[X7]⊞S8[X8])))}$, где ${\displaystyle ⊞}$ — это операция сложения по модулю ${\displaystyle 2^{32}}$

Использование Blowfish 64-битного блока (в отличие, например, от 128-битного блока AES) делает его уязвимым для атаки дней рождения, в частности, в контекстах типа HTTPS. В 2016 году атака SWEET32 продемонстрировала, как использовать атаку дней рождения для восстановления открытого текста (то есть расшифровки) из 64-битных блоков.^[1] Проект GnuPG рекомендует не использовать Blowfish для файлов с размером, превышащим 4 ГБ^[2] из-за малого размера блока^[3].

Известно, что вариант Blowfish с уменьшенным количеством раундов является уязвимым для атак на основе открытых текстов на сравнительно слабых ключах. Реализации Blowfish с 16 раундами шифрования не подвержены подобным атакам.^[4][5] Тем не менее, Брюс Шнайер рекомендовал переход на последователя Blowfish - Twofish.^[6]

Blowfish зарекомендовал себя как надёжный алгоритм, поэтому реализован во многих программах, где не требуется частая смена ключа и необходима высокая скорость шифрования/расшифровывания.Шаблон:Sfn

• хеширование паролей
• защита электронной почты и файлов
  • GnuPG (безопасное хранение и передача)Шаблон:Sfn
• в линиях связи: связка ElGamal (не запатентован) или RSA (действие патента закончилось в 2000 году) и Blowfish вместо IDEA
  • в маршрутизаторе Intel Express 8100 с ключом длиной 144 бита
• обеспечение безопасности в протоколах сетевого и транспортного уровня
  • SSH (транспортный уровень)
  • OpenVPN (создание зашифрованных каналов)

Скорость шифрования алгоритма во многом зависит от используемой техники и системы команд. На различных архитектурах один алгоритм может значительно опережать по скорости своих конкурентов, а на другом ситуация может сравняться или даже измениться в прямо противоположную сторону. Более того, программная реализация значительно зависит от используемого компилятора. Использование ассемблерного кода может повысить скорость шифрования. На скорость шифрования влияет время выполнения операций mov, add, xor, причём время выполнения операций увеличивается при обращении к оперативной памяти (для процессоров серии Pentium примерно в 5 раз). Blowfish показывает более высокие результаты при использовании кэша для хранения всех подключей. В этом случае он опережает алгоритмы DES, IDEA.Шаблон:Sfn На отставание IDEA влияет операция умножения по модулю ${\displaystyle 2^{32}+1}$. Скорость Twofish может быть близка по значению к Blowfish за счёт большего шифруемого блока.

Хотя Blowfish по скорости опережает некоторые свои аналоги, но при увеличении частоты смены ключа основное время его работы будет уходить на подготовительный этап, что в сотни раз уменьшает его эффективность.

Шаблон:Примечания

• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source

• Официальный веб-сайт Blowfish Шаблон:Wayback
• Список продуктов, использующих Blowfish Шаблон:Wayback
• Dieter Schmidt. Kaweichel, an Extension of Blowfish for 64-Bit Architectures Шаблон:WaybackШаблон:Ref-en

Шаблон:^ Шаблон:Симметричные криптоалгоритмы Шаблон:Добротная статья