SEAL (криптографический алгоритм)

SEAL (Шаблон:Lang-en, программно-оптимизированный алгоритм шифрования) — симметричный поточный алгоритм шифрования данных, оптимизированный для программной реализации.

Разработан в IBM Шаблон:Iw (Шаблон:Lang-en) и Доном Копперсмитом (Шаблон:Lang-en) в 1993 году. Алгоритм оптимизирован и рекомендован для 32-битных процессоров. Для работы ему требуется кэш-память на несколько килобайт и восемь 32-битовых регистров. Скорость шифрования — примерно 4 машинных такта на байт текста. Для кодирования и декодирования используется 160-битный ключ. Чтобы избежать нежелательной потери скорости по причине медленных операций обработки ключа, SEAL предварительно выполняет с ним несколько преобразований, получая в результате три таблицы определённого размера. Непосредственно для шифрования и расшифрования текста вместо самого ключа используются эти таблицы.

Алгоритм считается очень надёжным, очень быстрым^[1] и защищён патентом США № 5454039^[2] с декабря 1993 года.

Шаблон:-

История

В 1991 году Ральф Меркл (Шаблон:Lang-en) описал рентабельность программно-ориентированных шифров. По его мнению, наиболее эффективными из них были Khufu, FEAL и RC4. Однако постоянно увеличивающиеся потребности клиентов в надежной криптографии требовали поиска новых и доработки старых решений.

Летом 1992 года началась разработка первой версии нового программно-оптимизированного алгоритма SEAL 1.0. Разработчики взяли основные идеи и принцип работы из блочного шифра Ральфа Меркла (Шаблон:Lang-en) Khufu, который показался им самым совершенным на тот момент. Они решили добиться лучших характеристик проекта (в основном скорости), сузив круг аппаратуры, на которой возможна его реализация. Выбор был сделан в пользу 32-битных машин минимум с восемью регистрами общего назначения и кэшем не менее 8 Кбайт. В марте 1993 года было принято решение создать блочный шифр, но структура из семейства псевдослучайных функций, разработанная к октябрю того же года, работала быстрее, что склонило разработчиков в к поточному шифрованию.

Эта структура состояла из четырёх регистров, каждый из которых изменял своего «соседа» в зависимости от таблицы, полученной из ключа. После некоторого количества таких модификаций значения регистров добавляются в ключевую последовательность, которая растет с каждой итерацией до тех пор, пока не достигнет определённой длины.

При разработке почти все внимание уделялось внутреннему циклу алгоритма, так как процедура инициализации регистров и метод генерации таблиц из ключа оказывали незначительное влияние на его защищенность. В окончательном виде проект SEAL 1.0 появился только в декабре 1993 года.

В 1996 году Хелен Хандшух и Шаблон:Не переведено описали атаки на упрощенную версию SEAL 1.0 и на сам SEAL 1.0. Им потребовалось $2^{30}$ текстов, каждый длиной в четыре 32-битных слова, чтобы найти зависимость псевдослучайной функции от ключа. В результате, в следующих версиях алгоритма SEAL 3.0 и SEAL 2.0 были сделаны некоторые доработки и изменения. Например, в версии 1.0 каждая итерация с ключевой последовательностью завершалась модификацией только двух регистров, а в версии 3.0 — модифицировались все четыре. Ещё SEAL 3.0 и SEAL 2.0 использовали для генерации таблиц алгоритм SHA-1 (Шаблон:Lang-en) вместо первоначального SHA, что сделало их более устойчивыми к криптоанализу.

Описание

При описании алгоритма используются следующие операции и обозначения:

числа шестнадцатеричной системы счисления начинаются с символов «0x» и используют в записи кроме десятичных цифр символы «a», «b», «c», «d», «e» и «f», которые обозначают десятичные числа от 10 до 15 соответственно;
под выражением Y $⋙$ t следует понимать циклический сдвиг регистра Y вправо на t бит;
под выражением Y $⋘$ t следует понимать циклический сдвиг регистра Y влево на t бит;
операция X $&$ Y означает побитовое логическое умножение (Шаблон:Lang-en) регистров X и Y;
операция X $\lor$ Y означает побитовое логическое сложение (Шаблон:Lang-en) регистров X и Y;
операция X $\oplus$ Y означает побитовое сложение по модулю 2 (Шаблон:Lang-en) регистров X и Y;
под X $‖$ Y следует понимать конкатенацию (Шаблон:Lang-en) регистров X и Y;
выражение odd (X) обозначает логическую функцию аргумента X, которая принимает значение ИСТИНА (Шаблон:Lang-en) только, если X — нечётное число.

Создание таблиц шифрования из ключа

Чтобы избежать потери скорости шифрования на медленных операциях алгоритм использует три таблицы: R, S и T. Эти таблицы вычисляются с помощью процедуры из алгоритма SHA-1 и зависят только от ключа. Заполнение данных таблиц можно описать с помощью функции G, которая из 160-битной строки $a$ и 32-битного числа $i$ возвращает 160-битное значение $G_{a} (i)$ .

Введем следующие функции и переменные в зависимости от индекса $t$ :

для $0 \leq t \leq 19$ установим $K_{t} = 0x 5 a 827999$ и $f_{t} (B, C, D) = (B & C) \lor (\bar{B} & D);$
для $20 \leq t \leq 39$ установим $K_{t} = 0x 6 e d 9 e b a 1$ и $f_{t} (B, C, D) = B \oplus C \oplus D;$
для $40 \leq t \leq 59$ установим $K_{t} = 0x 8 f 1 b b c d c$ и $f_{t} (B, C, D) = (B & C) \lor (B & D) \lor (C & D);$
для $60 \leq t \leq 79$ установим $K_{t} = 0x c a 62 c 1 d 6$ и $f_{t} (B, C, D) = B \oplus C \oplus D .$

Затем 160-битная строка $a$ разбивается на пять 32-битных слов так, что $a = H_{0} ‖ H_{1} ‖ H_{2} ‖ H_{3} ‖ H_{4} .$

Также создается шестнадцать 32-битных слов $W_{0} = i, W_{1} = W_{2} = . . . = W_{15} = 0^{32} .$

Затем выполняются финальные вычисления:

$For t = 16 to 79 do W_{t} = (W_{t - 3} \oplus W_{t - 8} \oplus W_{t - 14} \oplus W_{t - 16}) ⋘ 1;$
$A = H_{0}; B = H_{1}; C = H_{2}; D = H_{3}; E = H_{4};$
$For t = 0 to 79 do$
$TEMP = A ⋘ 5 + f_{t} (B, C, D) + E + W_{t} + K_{t};$

$E = D; D = C; C = B ⋘ 30; B = A; A = T E M P;$
$H_{0} = H_{0} + A; H_{1} = H_{1} + B; H_{2} = H_{2} + C; H_{3} = H_{3} + D; H_{4} = H_{4} + E;$
$G_{a} (i) = H_{0} ‖ H_{1} ‖ H_{2} ‖ H_{3} ‖ H_{4} .$

Введем функцию $Γ_{a} (i) = H_{i m o d 5}^{i}$ где $H_{0}^{5 j} ‖ H_{1}^{5 j + 1} ‖ H_{2}^{5 j + 2} ‖ H_{3}^{5 j + 3} ‖ H_{4}^{5 j + 4} = G_{a} (j)$ для $j = 𝒷 i / 5 𝒸 .$

Тогда таблицы:

$T [i] = Γ_{a} (i), 0 \leq i < 512;$

$S [j] = Γ_{a} (0x 1000 + j), 0 \leq j < 256;$

$R [k] = Γ_{a} (0x 2000 + k), 0 \leq k < 256 .$

Далее ключ $a$ в алгоритме не используется.

Инициализация служебных регистров

Перед генерацией псевдослучайной функции нужно подготовить четыре 32-битовых служебных регистра ( $A$ , $B$ , $C$ и $D$ ) и четыре 32-битовых слова ( $n_{1}$ , $n_{2}$ , $n_{3}$ и $n_{4}$ ). Их значения определяются из таблиц $R$ и $T$ , 32-битового числа $n$ и некоторого числа $l$ в следующей процедуре.

$procedure Initialize (n, l, A, B, C, D, n_{1}, n_{2}, n_{3}, n_{4})$

A \leftarrow n \oplus R [4 l];

B \leftarrow (n ⋙ 8) \oplus R [4 l + 1];

C \leftarrow (n ⋙ 16) \oplus R [4 l + 2];

D \leftarrow (n ⋙ 24) \oplus R [4 l + 3];

$for j \leftarrow 1 to 2 do$

P \leftarrow A & 0x 7 f c; B \leftarrow B + T [P / 4]; A \leftarrow A ⋙ 9;

P \leftarrow B & 0x 7 f c; C \leftarrow C + T [P / 4]; B \leftarrow B ⋙ 9;

P \leftarrow C & 0x 7 f c; D \leftarrow D + T [P / 4]; C \leftarrow C ⋙ 9;

P \leftarrow D & 0x 7 f c; A \leftarrow A + T [P / 4]; D \leftarrow D ⋙ 9;

$(n_{1}, n_{2}, n_{3}, n_{4}) \leftarrow (D, B, A, C);$

P \leftarrow A & 0x 7 f c; B \leftarrow B + T [P / 4]; A \leftarrow A ⋙ 9;

P \leftarrow B & 0x 7 f c; C \leftarrow C + T [P / 4]; B \leftarrow B ⋙ 9;

P \leftarrow C & 0x 7 f c; D \leftarrow D + T [P / 4]; C \leftarrow C ⋙ 9;

P \leftarrow D & 0x 7 f c; A \leftarrow A + T [P / 4]; D \leftarrow D ⋙ 9;

Создание псевдослучайной функции

Для шифрования текста необходимо создать псевдослучайную функцию.

$function SEAL (a, n, L)$

$y = 0^{L};$

$for l \leftarrow 0 to \infty do$

$Initialize (n, l, A, B, C, D, n_{1}, n_{2}, n_{3}, n_{4});$

$for i \leftarrow 1 to 64 do$

$P \leftarrow A & 0x 7 f c; B \leftarrow B + T [P / 4]; A \leftarrow A ⋙ 9; B \leftarrow B \oplus A;$

$Q \leftarrow B & 0x 7 f c; C \leftarrow C \oplus T [Q / 4]; B \leftarrow B ⋙ 9; C \leftarrow C + B;$

$P \leftarrow (P + C) & 0x 7 f c; D \leftarrow D + T [P / 4]; C \leftarrow C ⋙ 9; D \leftarrow D \oplus C;$

$Q \leftarrow (Q + D) & 0x 7 f c; A \leftarrow A \oplus T [Q / 4]; D \leftarrow D ⋙ 9; A \leftarrow A + D;$

$P \leftarrow (P + A) & 0x 7 f c; B \leftarrow B \oplus T [P / 4]; A \leftarrow A ⋙ 9;$

$Q \leftarrow (Q + B) & 0x 7 f c; C \leftarrow C + T [Q / 4]; B \leftarrow B ⋙ 9;$

$P \leftarrow (P + C) & 0x 7 f c; D \leftarrow D \oplus T [P / 4]; C \leftarrow C ⋙ 9;$

$Q \leftarrow (Q + D) & 0x 7 f c; A \leftarrow A + T [Q / 4]; D \leftarrow D ⋙ 9;$

$y \leftarrow y ‖ B + S [4 i - 4] ‖ C \oplus S [4 i - 3] ‖ D + S [4 i - 2] ‖ A \oplus S [4 i - 1];$

$if | y | \geq L then return y_{0} y_{1} . . . y_{L - 1};$

$if o d d (i) then (A, B, C, D) \leftarrow (A + n_{1}, B + n_{2}, C \oplus n_{1}, D \oplus n_{2});$

$else (A, B, C, D) \leftarrow (A + n_{3}, B + n_{4}, C \oplus n_{3}, D \oplus n_{4});$

Процесс шифрования состоит из большого числа итераций, каждая из которых завершается генерацией псевдослучайной функции. Количество пройденных итераций показывает счетчик l. Все они подразделяются на несколько этапов с похожими операциями. На каждом этапе старшие 9 битов одного из регистров (A, B, C или D) используются в качестве указателя, по которому из таблицы T выбирается значение. Это значение складывается арифметически или поразрядно по модулю 2 (XOR) со следующим регистром (снова один из A, B, C или D). Затем первый выбранный регистр преобразуется циклическим сдвигом вправо на 9 позиций. Далее либо значение второго регистра модифицируется сложением или XORом с содержимым первого (уже сдвинутым) и выполняется переход к следующему этапу, либо этот переход выполняется сразу. После 8 таких этапов значения A, B, C и D складываются (арифметически или XORом) с определёнными словами из таблицы S и добавляются в ключевую последовательность y. Завершающий этап итерации заключается в прибавлении к регистрам дополнительных 32-битных значений (n1, n2 или n3, n4). Причем выбор конкретного значения зависит от четности номера данной итерации.

Свойства и практическое применение

При разработке этого алгоритма главное внимание отводилось следующим свойствам и идеям:

использование большой (примерно 2 Kбайта) таблицы T, получаемой из большого 160-битного ключа;
чередование арифметических операций (сложение и побитовый XOR);
использование внутреннего состояния системы, которое явно не проявляется в потоке данных (значения n1, n2, n3 и n4, которые изменяют регистры в конце каждой итерации);
использование отличных друг от друга операций в зависимости от этапа итерации и её номера.

Для шифрования и расшифрования каждого байта текста шифр SEAL требует около четырёх машинных тактов. Он работает со скоростью примерно 58 Мбит/с на 32-битном процессоре с тактовой частотой 50 МГц и является одним из самых быстрых шифров.

Примечания

Шаблон:Примечания

Источники

Ссылки

Шаблон:US patent «Computer readable device implementing a software-efficient pseudorandom function encryption»
Неофициальная реализация алгоритма SEAL 3.0 на языке C Шаблон:Wayback
Неофициальная реализация алгоритма SEAL 3.0 на языке Delphi Шаблон:Wayback

Шаблон:Симметричные криптоалгоритмы

↑ Шаблон:Статья
↑ Шаблон:US patent «Software-efficient pseudorandom function and the use thereof for encryption»

[1] Шаблон:Статья

[2] Шаблон:US patent «Software-efficient pseudorandom function and the use thereof for encryption»

[1]

[2]

SEAL (криптографический алгоритм)

Содержание

История

Описание

Создание таблиц шифрования из ключа

Инициализация служебных регистров

Создание псевдослучайной функции

Свойства и практическое применение

Примечания

Источники

Ссылки

Навигация

SEAL (криптографический алгоритм)

История

Описание

Создание таблиц шифрования из ключа

Инициализация служебных регистров

Создание псевдослучайной функции

Свойства и практическое применение

Примечания

Источники

Ссылки

Навигация

Поиск