Раунды
Зачем в блочных шифрах используется несколько раундов. Например, в ГОСТ 28147-89 32 раунда. Почему нельзя обойтись 1, 2 или 10?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
И если уж упомянули ГОСТ-89, так это сбалансированная сеть Файстеля, где нелинейно обрабатывается только полраунда, вторая половина просто ксорится с результатом на выходе первой, т.е. по элементарной логике должно быть минимум два раунда для полной обработки.
Если копнуть глубже, то функция смешения в ГОСТ — слишком простая (фиксированный циклический сдвиг), что явно недостаточно для малого числа раундов. Битовые зависимости можно будет отследить.
Если копнуть ещё глубже, то Любы-Ракофф ещё в конце восьмидесятых доказали, что даже при идеальной функции раунда (а таких не существует по определению) нужно минимум 4 таких раунда в сети Файстеля для приближения к стойкой неразличимости от идеального шифра.
А ещё позже более абстрактные исследования пытались повысить этот результат до шести раундов.
BTW, ГОСТу-28147 явно недостаточно 32 раундов для 256-битной стойкости, адекватной размеру ключа.
По себе людей не судят. Не стоит свои любительские рецепты распространять как общепринятые в академическом крипто.
комментариев: 9796 документов: 488 редакций: 5664
© Ross Anderson, Eli Biham and Lars Knudsen. SERPENT: A Candidate Block Cipher for the Advanced Encryption Standard.
Вот за это вы его и не любите ☺:
И вообще, Ross Anderson местами чушь порет. Уже и не знаешь, стоит ли доверять такому человеку хотя бы в области криптографии.
комментариев: 9796 документов: 488 редакций: 5664
Верно :) Академическое сообщество, оно местами тоже такое. Хотя на конкурсе AES этот его финт произвёл впечатление даже на спецов. А как одно время этот суперпрочный Serpent полюбили всякие шифрпанки.
А вот маргинальная политота Андерсона в последней работе — какой-то откровенный политосрач. Я бы его за такое на нашем форуме забанил, хотя политологические идеи по своему интересные.
Очень типичный результат: reduced round криптоанализ хороших шифров работает где-то до половины от общего числа раундов. Что говорит о том, что авторы правильно оценили минимально нужное количество раундов, и перезаложились вдвое.
http://www.zas-comm.ru
zas@zas-comm.ru
Если потребитель не видит отличий в качестве товара, то судит по качеству этикетки (Основы маркетинга).
http://pdf.aminer.org/002/925/.....nalysis_of_sasas.pdf
Threefish – алгоритм для больших процессоров, SKEIN соответственно тоже.
Интересно было бы увидеть блочный шифр на основе Salsa или ChaCha функции.
http://www.zas-comm.ru