СРАВНЕНИЕ  СТАНДАРТОВ  ШИФРОВАНИЯ  США  И  РФ

Брагина  Виктория  Германовна

студент  3  курса,  Электротехнический  факультет,  ПНИПУ,  РФ,  г.  Пермь

Email :  bragina951993@yandex.ru

Кротова  Елена  Львовна

научный  руководитель,  канд.  физ.-мат.  наук,  доцент  ПНИПУ,  РФ,  г.  Пермь

В  1990  году  был  введен  в  действие  отечественный  стандарт  шифрования  ГОСТ  28147-89  «Системы  обработки  информации.  Защита  криптографическая.  Алгоритм  криптографического  преобразования»  [1].

Стандарт  был  разработан  действующей  в  то  время  спецслужбой.  Является  обязательным  для  применения  в  организациях,  осуществляющих  криптографическую  защиту  данных  для  передачи  ее  по  сетям  ЭВМ. 

Через  12  лет,  в  2002  году  в  США  был  принят  новый  стандарт  шифрования  взамен  старому  (DES).  Стандарт  носит  название  Advanced  Encryption  Standard  (AES).  В  отличие  от  отечественного,  избирался  на  конкурсной  основе.  В  данный  момент  является  одним  из  самых  распространенных  алгоритмов  симметричного  шифрования  [4].

Далее  рассмотрены  основные  характеристики  стандартов  в  попытке  выяснить:  уступает  ли  отечественный  стандарт  зарубежному.

Описание  архитектур.

Алгоритм  AES  основан  на  архитектуре  “Square”,  что  в  переводе  означает  «Квадрат»,  которая  представляет  собой  прямые  преобразования  шифруемого  блока,  который  представлен  в  виде  двумерного  байтового  массива  размером  4х4  [2,  c.  84].

За  один  раунд  шифруемый  блок  преобразуется  целиком,  таким  образом,  необходимую  сложность  преобразований  можно  получить  за  меньшее  число  раундов.

Каждый  раунд  заключается  в  сложении  по  модулю  два  начального  блока  данных  и  ключевого  элемента,  далее  следуют  три  операции,  рассмотренные  в  следующей  части.

Алгоритм  ГОСТ  28147-89  базируется  на  архитектуре  «сеть  Файстеля».  Данная  архитектура  подразумевает  разбиение  исходного  блока  данных  на  две  части.  Одна  из  частей  изменяется  с  помощью  функции  шифрования  в  зависимости  от  ключа  раунда  и  далее  складывается  по  модулю  2  с  другой  частью.  После  каждого  раунда  части  меняются  местами,  т.  е.  на  следующем  раунде  текущий  измененный  блок  становится  неизменным  [2,  c.  73].

Недостатком  данной  архитектуры,  по  сравнению  с  используемой  в  алгоритме  AES  является  то,  что  за  один  раунд  шифруется  только  половина  блока.

Описание  раундов  шифрования.

В  алгоритме  AES  шифруемый  блок  представлен  в  виде  матрицы  4х4.  Все  операции  производятся  над  отдельными  байтами  матрицы,  а  так  же  над  ее  строками  и  столбцами  [2,  c.  85].

В  каждом  раунде  происходят  следующие  преобразования:

·     Операция  SubBytes  представляет  собой  замену  каждого  байта  массива  данных  новым  значением,  используя  таблицу  замены.  Такая  подстановка  обеспечивает  нелинейность  алгоритма  шифрования  [2,  c.  85].

·     Операция  ShiftRows  выполняет  циклический  сдвиг  влево  всех  строк  массива  данных,  кроме  нулевой.  Шаг  смещения  байтов  зависит  от  номера  строки  [2,  c.  85].

·     Операция  MixColumns  выполняет  умножение  каждого  столбца  массива  данных,  которые  принимаются  за  многочлены  над  полем  GF(2⁸),  на  фиксированный  полином  [2,  c.  85].

.                                    (1)

умножение  по  модулю  .                                           (2)

·     Операция  AddRoundKey  выполняет  сложение  по  модулю  два  массива  данных  с  ключом. 

Алгоритм  ГОСТ  28147-89  шифрует  информацию  блоками  по  64  бита,  которые  разбиваются  на  подблоки  по  32  бита  (N1  и  N2)  [3].  Состоит  из  следующих  шагов:

·     Сложение  по  модулю  2³²  ключевого  элемента  и  подблока  N1  [3].

·     Табличная  замена.  Далее  подблок  разбивается  на  восемь  4-битовых  частей,  значения  каждой  из  которых  заменяются  в  соответствии  с  таблицей  замены,  называемой  S-блоком.  Количество  S-блоков  адекватно  4-битовым  частям  и  представляют  собой  перестановку  чисел  от  0  до  15  [3].

·     Выходы  S-блоков  объединяются  в  32-битную  последовательность  и  циклически  сдвигаются  влево  на  11  битов  к  старшему  разряду  [3].

Очевидно,  что  в  каждом  стандарте  раунды  шифрования  аналогичны  друг  другу.  Что  значительно  упрощает  их  аппаратную  и  программную  реализацию.  Последний  раунд  AES  не  содержит  операции  MixColumns,  в  последнем  раунде  ГОСТа  отсутствует  перестановка  подблоков,  в  данном  случает  это  сделано,  чтобы  обеспечить  возможность  расшифровки  блока  данных.

Учитывая,  что  в  стандарте  28147-89  используется  32  раунда  шифрования,  это  позволяет  противостоять  существующим  методам  криптоанализа.  Так  при,  примерно,  24  раундах  атака  становится  абсолютно  непрактичной.

В  алгоритме  шифрования  стандарта  AES  предусмотрено  10—14  раундов.  Но  достаточная  криптостойкость  алгоритма  достигается  уже  при  6—8  раундах. 

Таким  образом,  оба  алгоритма  обладают  достаточной  стойкостью  к  методам  криптоанализа  с  некоторым  запасом  [2,  c.  86].

Обратное  преобразование

В  соответствии  с  тем,  что  архитектура  стандарта  28147-89  основана  на  сети  Файстеля,  процедура  расшифрования  данных  идентична  прямому  преобразованию,  с  тем  исключением,  что  порядок  использования  ключевых  элементов  —  обратный  [3].

В  стандарте  AES  расшифрование  происходит  путем  применения  обратных  операций  в  обратной  последовательности.  При  сопоставлении  алгоритмов  прямого  и  обратного  преобразований  можно  заметить,  что  они  практически  одинаковы,  за  исключением  того,  что  все  ключевые  моменты  выполняются  в  обратном  порядке. 

Таким  образом,  процедуры  шифрования  и  расшифрования  в  обоих  стандартах  могут  быть  совмещены  при  их  реализации. 

Ключи  шифрования

В  отечественном  стандарте  используется  256-битный  ключ,  который  разбивается  на  восемь  32-битовых  подключей  (k1..k8).  Ключи  k9..k24  являются  повторением  ключей  k1..k8,  ключи  с  k29  по  k32  повторяют  ключи  k8..k1.  Следовательно,  каждый  подключ  используется  ровно  четыре  раза.  Порядок  их  использования  зависит  от  номера  раунда  [3].

Благодаря  достаточно  большой  длине  ключа  сохраняется  высокая  криптостойкость  алгоритма  [3].

В  стандарте  AES  ключ  для  каждого  раунда  вырабатывается  с  помощью  операции  расширения.  Длина  каждого  ключа  составляет  128,  192  или  256  бит.  Алгоритмы  определения  ключа  шифрования  различаются  незначительно.  Рассмотрим  на  примере  128-битного  ключа  или  четырех  4-байтовых  слов  w_i,  w_i+1,  w_i+2,  w_i+3.  Все  ключи  —  44-байтовых  слова.  Первые  четыре  слова  заполняются  ключом  шифра,  а  из  остальных  40  слов  выбираются  4  слова  для  ключа  раунда.  Слова  выбираются  следующим  образом:  четыре  первых  слова  являются  ключом  с  номером  0,  следующие  четыре  слова  —  ключом  для  первого  раунда  и  т.  д.  [3].

Формирование  последующих  раундовых  ключей  происходит  в  соответствии  с  формулами: 

                                     (3)

  и  т.  д.                        (4)

Изменение  первых  слов  в  каждом  ключе  раунда  происходит  по  следующей  формуле: 

                                  (5)

Функция  g  выполняется  в  виде  последовательных  шагов:

1.  Rotword  —  сдвиг  влево  на  один  байт

2.  SubBytes  —  замена  каждого  байта

3.  Суммирование  по  модулю  два  байтов  с  раундовой  константой,  с  целью  избежания  симметрии  и  появления  слабых  ключей. 

Несмотря  на  сложность  выбора  ключей  шифрования  в  AES,  метод  остается  достаточно  простым  и  эффективным.  В  данном  случае  атака  с  перебором  ключей  не  имеет  практического  значения.

Рассмотрев  некоторые  параметры  стандартов,  можно  прийти  к  выводу,  что  их  основные  рабочие  моменты  вполне  сопоставимы,  несмотря  на  использование  разных  архитектур.  Основные  параметры  криптостойкости  ни  одного  из  стандартов  не  имеют  преимуществ  перед  другим.  Недостатком  отечественного  стандарта  будет  являться  его  более  медленная  аппаратная  реализация.

Таким  образом,  можно  сказать,  что  отечественный  стандарт  не  уступает  современным  требования  к  шифрованию  данных,  несмотря  на  то,  что  разница  в  годах  разработки  между  ним  и  AES  достаточно  большая  с  точки  зрения  развития  технологий. 

Список  литературы:

1.ГОСТ  28147-89.  Системы  обработки  информации.  Защита  криптографическая.  Алгоритм  криптографического  преобразования.  М.:  ИПК  Изд-во  стандартов,  1990.  —  26  с.

2.Панасенко  С.П.  Алгоритмы  шифрования.  Специальный  справочник.  СПб.:  БХВ-Петербург,  2009.  —  576  с.

3.Стандарт  шифрования  ГОСТ  28147-89//  http://  computerra.ru  :  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.computerra.ru/cio/old/it-expert/328198/  (дата  обращения  02.05.14).

4.Advanced  encryption  standard:  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf  (дата  обращения  05.05.14).