18.07 // Каскады из разных шифров могут быть слабее своих составных частей
Многораундовое шифрование из разных шифрующих функций и шифрование на основе каскадного повторения одного и того же шифра привлекало внимание в течении десятилетий и изучалось на основе модели идеального шифра. Традиционный и самый простой ответ заключался в том, что "двойное шифрование крайне незначительно увеличивает стойкость, а тройное — существественно значительнее, чем двойное и одинарное".
Основой нового исследования послужило обобщение также широко известного вопроса "является ли шифр группой?" в случае разнородных объединений. Грубо говоря, функция шифрования E : K x M → M называется имеющей групповое свойство, если для каждой пары ключей (k1, k2) существует другой ключ k ∈ K, такой что E(k2, E (k1, p) = E (k, p) для любого открытого текста p ∈ M. Аналогично, получающаяся комбинация шифров не порождает никаких новых перестановок.
Групповые свойства очевидно дают преимущество криптоаналитикам противника, поскольку они снижают затраты на перебор ключа против комбинации шифров. Неудивительно, что такие вопросы возникли при попытке оценить возможные слабости при многократном шифровании DES. Однако такие опасения были развеяны группами исследователей, которые в разных работах показывали, что DES не является группой или порождает слишком большую группу.
Исследователь John O. Pliam опубликовал предварительные результаты к методам оценки сочетаний различных шифрующих функций. При этом он утверждает, что возможны случаи как существенного увеличения области перестановок тройных шифров по сравнению с двойными, так и обратный вариант, приводящий к коллапсу стойкости. Ему удалось представить различители для сочетаний как для идеальных теоретически стойких сочетаний шифров, так и для шифров в вычислительной модели.
Так, по контритуитивному утверждению исследователя, если в цепочке X → Y → Z, шифрующая функция Y является идеальной, то это не означает, что вся цепочка будет идеальной. При этом стойкость к атакам будет зависеть от внутренней структуры оставшихся компонентов цепочки и порядка их следования.
Источник: Cryptography and Security Archive. См. также: Увеличение размера ключа в шифрах за счёт использования каскадов.
комментариев: 9796 документов: 488 редакций: 5664
Сама работа для новости — не полная статья, а всего лишь "extended abstract", хотя и слишком большая (8 страниц) для этого определения. Как эти теоретические построения ложатся на реально используемые варианты там не просматривается. По крайней мере из работы можно только понять про возможный коллапс шифрования при плохих двух шифрах из трёх.
Однако трудно представить существование нелинейного шифра с групповым свойством. Даже простые алгебраические несимметричные шифры этим свойством не обладают. Практичный шифр должен иметь длину ключа сопоставимую с длиной блока и полиномиальное время шифрования примерно одинаковое для всех ключей. Если шифруется блок из n бит а шифрование это биекция n<->n, то порядок группы шифрующих отображений скорее всего будет сопоставим с числом всех таких биекций (2^n)!. Значит столько же будет ключей а их астрономическая длина будет сопоставима с log2((2^n)!)n*2^n.
комментариев: 9796 документов: 488 редакций: 5664
Найти группу с длиной ключа шифра сопоставимую с длиной блока нетрудно, но было бы невероятно если время шифрования для разных ключей окажется примерно одинаковым да еще полиномиальным.
комментариев: 11558 документов: 1036 редакций: 4118
/Проект/Wiki#h14-6