Раунды

Ни одна из известных функций перестановок в симметричных шифрах не является идеальной сама по себе. Для неё всегда можно найти различитель и даже практическую атаку менее, чем за 2¹²⁸ шагов. Но хорошо сконструированная функция асимптотически приближается к идеальной по мере роста числа раундов.

Там вроде проблема в том, что для некоторых шифров увеличение числа раундов делает то ли хуже, то ли не лучше. Вы про что-то такое писали в аргументах против попыток наивного увеличения криптостойкости шифров.

Если в функции раунда находится дефект, например прохождение дифференциала с вероятностью 100% для любого раундового ключа, то тогда — да. Могут быть и другие специфические примеры — межраундовые дифференциалы.

И если уж упомянули ГОСТ-89, так это сбалансированная сеть Файстеля, где нелинейно обрабатывается только полраунда, вторая половина просто ксорится с результатом на выходе первой, т.е. по элементарной логике должно быть минимум два раунда для полной обработки.

Если копнуть глубже, то функция смешения в ГОСТ — слишком простая (фиксированный циклический сдвиг), что явно недостаточно для малого числа раундов. Битовые зависимости можно будет отследить.

Если копнуть ещё глубже, то Любы-Ракофф ещё в конце восьмидесятых доказали, что даже при идеальной функции раунда (а таких не существует по определению) нужно минимум 4 таких раунда в сети Файстеля для приближения к стойкой неразличимости от идеального шифра.

А ещё позже более абстрактные исследования пытались повысить этот результат до шести раундов.

Может причина проста и та же, из-за которой в sha256 куча раундов, что бы поиск колизий был жестоко сведён к невероятной задаче.

Количество раундов берется таким, чтобы наихудшая вероятность прохождения дифференциала соответствовала расчетной стойкости шифра. Плюс запас на непредвиденные случаи, обычно раза в два по количеству раундов.

BTW, ГОСТу-28147 явно недостаточно 32 раундов для 256-битной стойкости, адекватной размеру ключа.

По себе людей не судят. Не стоит свои любительские рецепты распространять как общепринятые в академическом крипто.

We also used twice as many rounds as are sufficient to block all currently known shortcut attacks. We believed this to be prudent practice for a cipher that might have a service life of a century or more.

© Ross Anderson, Eli Biham and Lars Knudsen. SERPENT: A Candidate Block Cipher for the Advanced Encryption Standard.

Вот за это вы его и не любите ☺:

Serpent неформально получил высшие оценки стойкости на конкурсе AES, но я отношусь к этому скептически, а к такому сравнению, как спекулятивному и слабообоснованному. В нём мелкие S-блоки, плохо обоснованный по конструкции, хотя и интересный, слой линейной диффузии, а стойкость накручена удвоением числа раундов — также как это сделано в ГОСТ. Ну да, громкие имена его авторов. Но и его обоснование и исследования — особо не впечатляют. Работы Шнайера по Twofish и Skein сразу видны, что идут по своему уровню и затратам усилий на построение доказательств на уровне работ по AES и Keccak. Это — эталон того, как надо. Даже если чего-то не понятно, приятно читать и видно, что авторы старались в каждой мелочи. Субъективно — над серпентом как будто так не старались, не знаю.

И вообще, Ross Anderson местами чушь порет. Уже и не знаешь, стоит ли доверять такому человеку хотя бы в области криптографии.

Верно :) Академическое сообщество, оно местами тоже такое. Хотя на конкурсе AES этот его финт произвёл впечатление даже на спецов. А как одно время этот суперпрочный Serpent полюбили всякие шифрпанки.

А вот маргинальная политота Андерсона в последней работе — какой-то откровенный политосрач. Я бы его за такое на нашем форуме забанил, хотя политологические идеи по своему интересные.

Плюс запас на непредвиденные случаи, обычно раза в два по количеству раундов.

Очень типичный результат: reduced round криптоанализ хороших шифров работает где-то до половины от общего числа раундов. Что говорит о том, что авторы правильно оценили минимально нужное количество раундов, и перезаложились вдвое.

http://www.zas-comm.ru
zas@zas-comm.ru

Работы Шнайера по Twofish и Skein сразу видны, что идут по своему уровню и затратам усилий на построение доказательств на уровне работ по AES и Keccak. Это — эталон того, как надо. Даже если чего-то не понятно, приятно читать и видно, что авторы старались в каждой мелочи. Субъективно — над серпентом как будто так не старались, не знаю.

Если потребитель не видит отличий в качестве товара, то судит по качеству этикетки (Основы маркетинга).

http://pdf.aminer.org/002/925/.....nalysis_of_sasas.pdf

Threefish – алгоритм для больших процессоров, SKEIN соответственно тоже.

Интересно было бы увидеть блочный шифр на основе Salsa или ChaCha функции.

http://www.zas-comm.ru