id: Гость   вход   регистрация
текущее время 06:45 11/08/2020
Владелец: unknown (создано 18/07/2013 13:24), редакция от 18/07/2013 14:43 (автор: unknown) Печать
Категории: криптография, алгоритмы, симметричное шифрование
http://www.pgpru.com/Новости/2013/КаскадыИзРазныхШифровМогутБытьСлабееСвоихСоставныхЧастей
создать
просмотр
редакции
ссылки

18.07 // Каскады из разных шифров могут быть слабее своих составных частей


Многораундовое шифрование из разных шифрующих функций и шифрование на основе каскадного повторения одного и того же шифра привлекало внимание в течении десятилетий и изучалось на основе модели идеального шифра. Традиционный и самый простой ответ заключался в том, что "двойное шифрование крайне незначительно увеличивает стойкость, а тройное — существественно значительнее, чем двойное и одинарное".


Основой нового исследования послужило обобщение также широко известного вопроса "является ли шифр группой?" в случае разнородных объединений. Грубо говоря, функция шифрования E : K x MM называется имеющей групповое свойство, если для каждой пары ключей (k1, k2) существует другой ключ kK, такой что E(k2, E (k1, p) = E (k, p) для любого открытого текста pM. Аналогично, получающаяся комбинация шифров не порождает никаких новых перестановок.


Групповые свойства очевидно дают преимущество криптоаналитикам противника, поскольку они снижают затраты на перебор ключа против комбинации шифров. Неудивительно, что такие вопросы возникли при попытке оценить возможные слабости при многократном шифровании DES. Однако такие опасения были развеяны группами исследователей, которые в разных работах показывали, что DES не является группой или порождает слишком большую группу.


Исследователь John O. Pliam опубликовал предварительные результаты к методам оценки сочетаний различных шифрующих функций. При этом он утверждает, что возможны случаи как существенного увеличения области перестановок тройных шифров по сравнению с двойными, так и обратный вариант, приводящий к коллапсу стойкости. Ему удалось представить различители для сочетаний как для идеальных теоретически стойких сочетаний шифров, так и для шифров в вычислительной модели.


Так, по контритуитивному утверждению исследователя, если в цепочке XYZ, шифрующая функция Y является идеальной, то это не означает, что вся цепочка будет идеальной. При этом стойкость к атакам будет зависеть от внутренней структуры оставшихся компонентов цепочки и порядка их следования.


Источник: Cryptography and Security Archive. См. также: Увеличение размера ключа в шифрах за счёт использования каскадов.


 
— Гость (19/07/2013 15:52)   <#>
Всегда ли каскады спасают от закладок (в одном алгоритме)?
— unknown (19/07/2013 16:10, исправлен 19/07/2013 16:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Сама работа для новости — не полная статья, а всего лишь "extended abstract", хотя и слишком большая (8 страниц) для этого определения. Как эти теоретические построения ложатся на реально используемые варианты там не просматривается. По крайней мере из работы можно только понять про возможный коллапс шифрования при плохих двух шифрах из трёх.

— стоматолог (07/08/2013 04:37)   <#>
Такой шифр как раз был бы интересен. Он позволял бы делать закрытое перешифрование данных под новый ключ, без их предварительной дешифровки. Он был бы хорошо анализируем на стойкость по причине своих сильных алгебраических свойств.
Однако трудно представить существование нелинейного шифра с групповым свойством. Даже простые алгебраические несимметричные шифры этим свойством не обладают. Практичный шифр должен иметь длину ключа сопоставимую с длиной блока и полиномиальное время шифрования примерно одинаковое для всех ключей. Если шифруется блок из n бит а шифрование это биекция n<->n, то порядок группы шифрующих отображений скорее всего будет сопоставим с числом всех таких биекций (2^n)!. Значит столько же будет ключей а их астрономическая длина будет сопоставима с log2((2^n)!)n*2^n.
— unknown (07/08/2013 11:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Получится модель идеального блочного шифра (ICM), в которой затраты на шифрование сопоставимы или больше затрат на взлом.
— стоматолог (07/08/2013 22:57)   <#>
Тильда пропала в последней формуле, запишу так log2((2^n)!)=O(n*2^n).

Найти группу с длиной ключа шифра сопоставимую с длиной блока нетрудно, но было бы невероятно если время шифрования для разных ключей окажется примерно одинаковым да еще полиномиальным.
— SATtva (08/08/2013 07:33)   профиль/связь   <#>
комментариев: 11550   документов: 1036   редакций: 4094
Тильда пропала в последней формуле

/Проект/Wiki#h14-6
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3