Глава 4. Блочные шифры
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Перемешивание
Перемешивание
Перемешивание
Перемешивание
Рис. 4.2.
Структура одного раунда AES
матрицы, да и функция, обратная перемешиванию, существенно отличается
от самой функции перемешивания.
Как и в DES, в алгоритме AES можно выделить несколько функциональ-
ных блоков, каждый из которых имеет свое назначение. Операции XOR скла-
дывают значение ключа с данными, S-матрицы обеспечивают нелинейность,
а функции перестановки и перемешивания гарантируют наличие диффузии.
Шифр AES имеет очень четкую структуру, каждая часть которой выполняет
строго определенную задачу.
Тем не менее полностью исключить сомнения насчет безопасности AES
невозможно. Разработчики AES всегда проводили несколько агрессивную по-
литику. На первой презентации своего алгоритма они продемонстрировали
пример атаки на 6 раундов и объявили, что полный процесс шифрования
должен состоять из 10–14 раундов, в зависимости от размера ключа [18].
В процессе отбора кандидатов на получение звания нового стандарта меха-
низм атак был улучшен настолько, что стал справляться с 7 раундами алго-
ритма для 128-битовых ключей, 8 раундами для 192-битовых ключей и даже
9 раундами для 256-битовых ключей [30]. Казалось бы, у нас остается еще
от 3 до 5 раундов на обеспечение безопасности. С другой стороны, наиболее
результативная из известных атак на 128-битовые ключи покрывает уже 70%
шифра. Другими словами, безопасность алгоритма AES основана на предпо-
ложении, что будущие атаки на этот шифр не смогут продемонстрировать
каких-либо существенных улучшений.
Предсказать будущее, как всегда, невозможно, однако иногда имеет смысл
заглянуть в прошлое. До сих пор наиболее хорошо изученными шифрами яв-
4.5. Современные блочные шифры
77
лялись DES, FEAL и IDEA. В каждом из этих случаев через много лет после
первой публикации шифра наблюдалось значительное усовершенствование
атак на него. Время идет, и криптография тоже не стоит на месте, однако
нам и сейчас остается лишь верить в то, что мы знаем об атаках все и что
в ближайшее время в этой области не произойдет сколько-нибудь заметных
положительных изменений.
Нельзя не отметить, что данная проблема имеет значение в основном для
специалистов по криптографии. Даже если бы современные атаки были усо-
вершенствованы настолько, что могли бы взломать AES, они, вероятно, по-
требовали бы около
2
120
шагов и
2
100
байт памяти. Этого было бы достаточно
для того, чтобы по нашим стандартам считать шифр “взломанным” или, точ-
нее, чтобы уменьшить уровень его безопасности до 120 бит. Данный шифр
уже бы не удовлетворял нашим требованиям безопасности, однако терять
спокойный сон из-за него мы бы не стали. Подобные атаки еще невозможно
осуществить на практике и вряд ли будет возможно на протяжении тех 50 лет
жизни, которые мы отвели современным криптографическим системам (см.
раздел 3.7).
Гораздо большее беспокойство вызывает простая алгебраическая струк-
тура алгоритма AES [33]. Весь процесс шифрования AES можно представить
в виде относительно простой замкнутой алгебраической функции с конечным
полем из 256 элементов. Это еще не атака, а лишь представление, однако, если
кто-нибудь когда-нибудь сможет справиться с этими функциями, AES будет
взломан, что открывает абсолютно новый подход к осуществлению атак. Еще
ни один из известных блочных шифров не имел такого простого алгебраи-
ческого представления. Мы не знаем, приведет это к нападениям на шифр
или нет, но и этого вполне достаточно, чтобы скептически относиться к ис-
пользованию AES. Наше воображение не раз рисовало пренеприятнейшую
картину. Проходит пять лет. Алгоритм AES применяется во многих крип-
тографических системах по всему миру. Мы сидим в аудитории и слушаем
доклад какого-то старшекурсника, имеющего отношение к совсем другой об-
ласти математики. Студент откашливается и начинает говорить: “Однажды
от нечего делать я начал листать книгу своего друга. Это оказалась книга
по криптографии. В ней было несколько формул, которые поразительно на-
поминали формулы, когда-то встречавшиеся мне совсем в другом месте. Мне
стало интересно, и я. . . ” Через 20 минут этот доклад завершается словами:
“Итак, мой компьютер может вычислить этот ключ примерно за два часа”.
Давайте говорить откровенно. Это абсолютно несправедливая критика
AES. Пока что для этого шифра не существует атак. В будущем же ата-
ке может подвергнуться абсолютно каждый шифр, включая и AES. Тем не
менее простая алгебраическая структура AES делает его потенциально уяз-
вимым перед абсолютно новым классом атак. У криптографов еще нет опыта
|