Каким быть новому стандарту шифрования?

Архив

Прошедшие годы показали, что стандартизация в области шифрования привела к разработке более качественных средств защиты информации от несанкционированного доступа и стимулировала их массовое применение. Стандарт подразумевает государственную гарантию качества алгоритма. За ним стоит опыт большого числа специалистов самого высокого уровня, длительное и всестороннее тестирование алгоритма, регулярная проверка на соответствие современным требованиям с учетом достижений в области криптографии и криптоанализа.

Тот факт, что первый в мире открытый официальный стандарт шифрования был принят в США, сыграл важную роль в закреплении лидерства американских специалистов в области криптографии и защиты информации. Влияние американского стандарта DES на развитие открытой криптографии во всем мире оказалось настолько сильным, что все прошедшие годы разработчики блочных алгоритмов шифрования были в плену подходов, использованных при разработке DES. Как конкретный алгоритм шифрования, DES стал предметом тщательного исследования на предмет стойкости и отсутствия "потайных ходов", а схема его построения - образцом для подражания. Последнее привело к определенному сдерживанию новых подходов к построению блочных криптосистем, что отчетливо проявилось в начале 1990-х годов, когда возникла проблема обеспечения скоростного шифрования программными средствами.

Новая проблема потребовала разработки и новых подходов к созданию открытых алгоритмов. Такие подходы, основанные на использовании операций преобразования, зависящих от преобразуемых данных и от секретного ключа, были предложены в начале 1990-х гг. В настоящее время в этом новом направлении прикладной криптографии российскими исследователями опубликован ряд работ [1], в которых предложены конкретные схемы построения гибких шифров.

После многих лет существования стандартов DES и ГОСТ 28147 можно констатировать, что ГОСТ не завоевал такой большой популярности и известности как DES. Этот факт можно объяснить следующими причинами:

- ГОСТ принят намного позже, но идеологически повторяет DES,

- один из отличительных элементов ГОСТ - использование секретных таблиц подстановок, поставляемых в установленном порядке, - был консервативным изначально,

- при программной реализации ГОСТ скорость шифрования оказывается слишком низкой,

- при аппаратной реализации обеспечение высокой скорости приводит к неприемлемо высокой цене шифраторов,

- сомнения пользователей относительно отсутствия потайных дверей, подогреваемое секретностью используемых подстановок.

САО, ГОСТ и современные блочные шифры

Совсем недавно для ГОСТ была показана возможность раскрытия ключа и таблиц подстановок с помощью криптоанализа на основе формирования случайных аппаратных ошибок (САО).

Что понимается под криптоанализом на основе САО? Это вид нападения на шифры в случае, когда предполагаемый нарушитель имеет возможность оказать на шифратор внешнее физическое воздействие и вызвать одиночные ошибки в процессе шифрования одного блока данных. Рассмотрение вопроса стойкости к этому методу особенно актуально для шифраторов, применяемых в интеллектуальных электронных карточках.

Многие блочные криптосистемы (DES, RC5, ГОСТ и др.) являются уязвимыми по отношению к этому виду криптоанализа, поэтому при их использовании необходимо обеспечить защиту аппаратуры от навязывания сбоев.

Но удобнее и дешевле предусмотреть защиту в самом алгоритме. В этом случае также достигается защищенность от возможных аппаратных закладок, ориентированных на формирование одиночных случайных ошибок. Такие закладки имеют специфический характер: при соответствующем проектировании очень трудно обнаружить и доказать их наличие. Это в принципе позволяет фирмам-изготовителям без риска для своего престижа идти на уступки "дружественным" спецслужбам и выпускать массовую электронную продукцию с аппаратными закладками. С помощью таких закладок могут быть эффективно атакованы алгоритмы, чувствительные к методу САО. Этот вопрос представляется весьма актуальным при неполном доверии к производителю (например, при использовании компьютеров и элементной базы зарубежного производства в критических областях деятельности).

Для шифров, ориентированных на программную реализацию, обеспечение стойкости к атакам на основе САО также представляется весьма важным. В новых программных средствах защиты информации разработчики стараются предусмотреть стойкость к таким атакам.

Приемлемой стойкостью к этому виду нападений обладает шифр TWOFISH (вычислительная стойкость около 10²³ операций). TWOFISH является кандидатом-финалистом на новый американский стандарт шифрования AES. Заметим, что не все финалисты AES являются достаточно стойкими к САО-атакам, например, шифры MARS и RC6 имеют, по нашим предварительным оценкам, стойкость порядка 10¹³ операций. Однако последние два шифра без изменения основной схемы преобразований могут быть легко модифицированы для повышения стойкости к атаке на основе САО.

Еще один пример учета стойкости к САО-атакам на этапе разработки алгоритма - скоростной 512-байтовый блочный шифр, использующий псевдовероятностную выборку подключей, который мы применили в системе защиты информации от несанкционированного доступа "Спектр" [2].

Таким образом, и среди зарубежных, и среди отечественных разработок имеются примеры блочных шифров, обладающих высокой стойкостью к методу САО, поэтому естественно ожидать, что принимаемый в качестве стандарта алгоритм должен также обеспечивать высокую стойкость к атакам на основе САО.

Стандартизация и открытость

В настоящее время стало достаточно очевидным, что ГОСТ является устаревшим алгоритмом шифрования. Академия криптографии России и ФАПСИ уже заявили, что ведутся работы по созданию нового стандарта. Будем надеяться, что новый российский стандарт привлечет гораздо больше внимания за рубежом по сравнению с ГОСТ 28147-89 и завоюет большее признание со стороны отечественных и зарубежных пользователей, включая пользователей массовых. В новом стандарте хотелось бы увидеть следующие свойства:

- высокое быстродействие при аппаратной и программной реализации,

- стойкость ко всем известным видам криптоанализа, включая атаку на основе формирования САО,

- невысокая стоимость аппаратной реализации,

- полная открытость алгоритма.

Разработка любого шифра предусматривает оценку его стойкости к достаточно разнообразным типам криптоаналитических нападений. Как относиться к заявляемым оценкам стойкости с учетом того, что их получение обычно является довольно сложной задачей? Это зависит от того, кто дает оценку. Стойкость шифра рассматривается как разработчиком, так и критиком (криптоаналитиком). Оценки разработчика шифра можно считать корректными, если он делает некоторые допущения в пользу криптоаналитика. Оценки разработчика будут опровергнуты, если кто-либо укажет другой способ криптоанализа, для которого вычислительная сложность получается меньше заявляемой.

Оценки критика являются корректными, если он не занижает значение стойкости по предлагаемому им лучшему методу криптоанализа. Оценки критика будут опровергнуты, если кто-либо найдет и укажет принятые криптоаналитиком существенные допущения, учет которых приводит к значительному увеличению сложности предлагаемого криптоаналитического нападения. Таким образом, если криптоаналитик предлагает корректный вариант атаки, который вычислительно реализуем по оценкам, то практическая проверка должна быть положительной.

В обоих случаях риск того, что оценки будут скомпрометированы, тем меньше, чем больше специалистов анализировали алгоритм, чем выше их квалификация и чем больше времени они уделили анализу. Поэтому открытая публикация криптоалгоритмов и их публичное обсуждение оказываются весьма полезными. Это поняли в NIST, приняв процедуру разработки нового американского стандарта AES, который выставлен на всемирное обсуждение с привлечением лучших специалистов в области открытой криптографии. Это развитие открытого подхода, заложенного американцами при принятии DES. Заметим, что полных гарантий того, что в принятом новом стандарте не будут учтены интересы спецслужб, никто не получит, поскольку потенциальные интересы спецслужб могут состоять не только во встраивании потайных дверей для чтения зашифрованной информации. Тем не менее, при таком принятии стандарта он будет пользоваться большим доверием пользователей.

Недалеко то время, когда криптографическая грамотность будет распространена в такой же степени, как и программирование сегодня. Массовый пользователь при любых нормативно-правовых ограничениях сможет найти возможность их обойти. Например, мы упоминали варианты защиты (которые далеко не исчерпаны) от потайных лазеек в шифрах.

Более того, сейчас активно развивается направление компьютерной стеганографии, которая позволит хранить и пересылать зашифрованную информацию таким образом, что никто не только не сможет доказать ее наличие, но даже не сможет быть субъективно уверенным в таковом. В связи с этим прогрессивной представляется такая политика в области шифрования, которая основана на отказе от встраивания потайных лазеек в стандарты шифрования (для обеспечения спецслужбам доступа к зашифрованной информации без знания секретного ключа), отказе от законодательного ограничения применения алгоритмов шифрования, отказе от ограничения допустимой длины используемых ключей и отказе от навязывания использования только "разрешенных" алгоритмов. На примере США, Франции, других развитых стран видно, что движение идет в эту сторону.

По официальным заявлениям, работы по созданию нового РСШ ведутся уже давно, однако, в отличие от политики принятия стандарта AES, потенциальные пользователи не имеют возможности высказать свои критические замечания, поскольку в открытой литературе конкретных сведений о процессе разработки этого стандарта пока нет. На наш взгляд, было бы полезным перенять американскую открытость в вопросе создания стандарта шифрования для широкого использования, но не копируя при этом схему и идеологию построения самого алгоритма.

На настоящий момент в открытой российской литературе сделано много оригинальных предложений по построению скоростных блочных шифров, что дает основание надеяться, что новый российский стандарт окажется по стойкости и другим параметрам не хуже любого из кандидатов AES и в то же время не будет подражанием ему.

---

1 (обратно к тексту) - См., например, "Вопросы защиты информации", .1, 1999; "Безопасность информационных технологий", .1, 1997, .1, 1999; "Автоматика и телемеханика" .8, 1998.

2 (обратно к тексту) - Он стоек к атакам 1) на основе известного исходного текста, 2) на основе специально подобранных текстов и 3) на основе САО. Для последнего случая, по нашим оценкам, вычислительная стойкость составляет более 10³⁶ операций.

---

Николай Молдовян - кандидат физико-математических наук, начальник научно-исследовательского отдела СЦПС "Спектр". Автор многих научных, популярных и учебных работ по теоретическим и практическим аспектам криптографии.