А.Винокуров. Серия выпусков по криптографии для электронного журнала "iNFUSED BYTES Online".

Выпуск 9. Режимы шифрования (окончание).

В настоящем выпуске мы с вами рассмотрим конкретные режимы шифрования. При их описании будем пользоваться следующими обозначениями:

T = (T₁,T₂,...,T_n) - массив открытых данных,
T' = (T'₁,T'₂,...,T'_n) - массив зашифрованных данных,

поделенные на блоки одинакового размера |T'_i| = |T_i| = N. Кроме того, мы будем подразумевать, что в блочных режимах последний блок уже дополнен каким-либо образом до полного, и что в потоковых режимах при модификации последнего неполного блока используется лишь часть гаммирующего блока. Кроме того, мы не будем здесь упоминать о проблемах, общих для всех режимов одного типа - они были подробно рассмотрены в предыдущих выпусках.

А. Блочные режимы шифрования.

1. Режим простой замены (электронной кодовой книги).

Этот простейший вариант использования блочного криптопреобразования мы уже достаточно подробно рассмотрели в предыдущих выпусках. Уравнения за- и расшифрования в нем следующие:

T'_i = E_K(T_i),
T_i = D_K(T'_i),

Для режима простой замены существует проблема идентичных блоков: если два блока шифртекста совпадают, то соответствующие блоки открытого текста также идентичны.

T'_i = T'_jT_i = T_j для любых i,j,

что позволяет аналитику легко обнаруживать в шифруемых данных повторяющиеся блоки.

В силу указанной причины и из-за проблемы неполного блока режим простой замены пригоден только для шифрования массивов данных, размер которых кратен размеру блока криптоалгоритма, и которые заведомо или с вероятностью, незначительно отличающейся от единицы, не содержат повторяющихся блоков. Единственным типом данных, заведомо удовлетворяющим указанным требованиям, являются ключевые данные. Именно поэтому отечественный стандарт шифрования запрещает, а американский - не рекомендует использовать данный режим для шифрования информации, не являющейся ключевой.

2. Режим простой замены (электронной кодовой книги) с рандомизацией шифруемых данных.

Данный режим является модификацией режима простой замены, призванной решить проблему идентичности блоков, и отличается от него только тем, что перед зашифрованием и после расшифрования в режиме простой замены данные модифицируются с использованием функции, зависящей от номера шифруемого блока i и, в общем случае, от параметра инициализации S. При этом уравнения за- и расшифрования будут следующие:

T'_i = E_K(T_if(i,S)),
T_i = D_K(T'_i)f(i,S),

Использование режима простой замены с рандомизацией позволяет избежать нахождения совпадающих блоков открытого текста с учетом следующих двух замечаний:

1. Если у противника есть возможность криптоанализа на основе произвольного выбранного открытого текста, то он может обнаружить все априорно известные "шаблонные" блоки (v), просто зашифровав массив из таких блоков и сравнив результат с перехваченным шифртекстом:

   V'_i = E_K(vf(i,S)),
   если T'_i = V'_i, то T_i = v.

2. Если функция рандомизации f недостаточно сложна и нелинейна, такой подход может дать в руки противника дополнительные возможности криптоанализа. Предположим, например, что f(i,S) = i, и зашифрованию подвергся массив из одинаковых блоков. В этом случае аналитик получит в свое распоряжение массив дифференциальных пар шифртекста, т.е. пар блоков, относительно которых известно, что соответствующие блоки открытых данных отличаются в одном единственном бите. Понятно, что это создаст отличные предпосылки для использования противником дифференциального криптоанализа. Конечно, это не имеет никакого значения, если используемый алгоритм криптографического преобразования устойчив к этому виду анализа, но в общем случае в силу вышесказанного рандомизирующая функция  f  должна быть как можно более сложной и нелинейной, в идеале она должна быть близка к криптографической, или, по крайней мере, к односторонней функции.

С точки зрения своих функциональных свойств режим простой замены с рандомизацией сохраняет два важных преимущества обычного режима простой замены:

1. При необходимости любой фрагмент шифртекста может быть расшифрован независимо от остального шифртекста.
2. При модификации исходных данных нет необходимости шифровать весь массив заново, достаточно зашифровать только изменившиеся блоки, причем при этом может быть использован тот же самый параметр инициализации S.

3. Режим сцепления блоков шифртекста.

Логическим развитием предыдущего режима является внесение обратной связи в процесс рандомизации блоков открытого текста. В режиме сцепления блоков шифртекста такая рандомизация выполняется с помощью предыдущего блока шифртекста, или (для первого шифруемого блока) параметра инициализации S. При этом за- и расшифрование выполняется в соответствии со следующими уравнения:

T'_i = E_K(T_iT'_i-1),
T_i = D_K(T'_i)T'_i-1,
где полагаем T'₀ = S.

При использовании данного режима уже практически невозможно выявить в исходном тексте шаблонные блоки за исключением тех, с которых начинается шифруемый массив, так как результат шифрования каждого блока зависит от всех предшествующих блоков:

T'_i = f(T₁,T₂,...,T_i-1,S).

Таким образом, режим сцепления блоков шифртекста свободен от недостатков режима простой замены с рандомизацией и, к сожалению, не обладает всеми его технологическими преимуществами:

1. С одной стороны, как и в предыдущем режиме, любой фрагмент массива зашифрованных данных при необходимости может быть расшифрован независимо от остального шифртекста.
2. С другой стороны, при фрагментарной модификации зашифрованных данных необходимо заново шифровать не только сами измененные блоки, но также и все блоки исходного массива, следующие за ними. Это обусловлено тем, что результат зашифрования каждого блока зависит от соответствующего ему и всех предыдущих блоков открытого текста и если значение какого-либо блока изменится, то изменятся и все последующие блоки шифртекста. Конечно, данная особенность затрудняет использование режима сцепления блоков шифртекста в ряде приложений - там, где зашифрованные данные подвергаются частой фрагментарной модификации.

4. Режим сцепления блоков.

Иногда режим сцепления блоков шифртекста изменяют таким образом, чтобы каждый блок открытого текста перед зашифрованием модифицировался с использованием не одного, а всех предшествующих блоков шифртекста. В этом случае уравнения за- и расшифрования будут следующими:

T'_i = E_K(T_iF_i),
T_i = D_K(T'_i)F_i,
где F_i+1 = F_i  T'_i, F₁ = S.

Если записать те же уравнения без рекуррентного параметра F_i, характер зависимости результата шифрования от предшествующих блоков шифртекста станет более очевидным:

T'_i = E_K(T_iST'₁...T'_i-1),
T_i = D_K(T'_i)ST'₁...T'_i-1.

По своим криптографическим свойствам данный режим аналогичен предыдущему, за исключением того, что ошибка или искажение какого-либо блока шифртекста распространяется при расшифровании на все последующие блоки открытого текста - впрочем, это тема для отдельного разговора.

5. Режим сцепления блоков шифртекста с распространением ошибки.

Данный режим является еще одним вариантом изменения режима сцепления блоков шифртекста и отличается от него тем, что перед зашифрованием очередной блок открытого текста модифицируется с использованием не только предшествующего блока шифртекста, но и предшествующего блока открытого текста. Уравнения преобразования данных при шифровании в режиме сцепления блоков с распространением ошибки следующие:

T'_i = E_K(T_iT'_i-1T_i-1),
T_i = D_K(T'_i)T'_i-1T_i-1,
где полагают T₀T'₀ = S.

Данный режим позволяет совмещать шифрование и контроль неизменности данных и использовался в некоторых вариантах системы Kerberos, хотя и не лишен определенных недостатков. В частности, в нем уже не может быть расшифрован изолированный фрагмент шифртекста - вместе с нужным должны быть расшифрованы и все предыдущие блоки данных.

6. Режим сцепления блоков шифртекста с контрольной суммой.

Данный режим схож с предыдущим и отличается от обычного режима сцепления блоков шифртекста тем, что перед зашифрованием очередной блок открытого текста модифицируется с использованием не только предшествующего блока шифртекста, но и всех предшествующих блоков открытого текста. Уравнения преобразования данных при шифровании в этом режиме следующие:

T'_i = E_K(T_iT_i-1...T₁T'_i-1),
T_i = D_K(T'_i)T'_i-1T_i-1...T₁,
где полагают T₀T'₀ = S.

Данный режим позволяет совмещать шифрование и контроль неизменности данных с минимальными дополнительными затратами и по своим свойствам аналогичен предыдущему режиму, обладая большинством его достоинств и недостатков.

7. Режим сцепления блоков открытого текста.

Данный режим похож на обычный режим сцепления блоков шифртекста и отличается от него тем, что для модификации блока перед его зашифрованием используется предшествующий блок не шифртекста, а открытого текста. Уравнения преобразования данных при шифровании в этом режиме следующие:

T'_i = E_K(T_iT_i-1),
T_i = D_K(T'_i)T_i-1,

Режим сцепления блоков открытого текста является скорее экзотикой, чем типовым вариантом, на практике широко не применяется, а используется в ограниченном числе случаев, требующих от шифра особых свойств.

Б. Потоковые режимы шифрования.

8. Режим гаммирования (потоковый режим).

Данный режим шифрования в зарубежной литературе часто так и называется потоковым режимом и, очевидно, является наиболее характерным представителем этого класса режимов. Суть его заключается в том, что каким-либо образом вырабатывается последовательность элементов данных с большим периодом повторения, и для шифрования данных путем их гаммирования с помощью операции побитового исключающего ИЛИ применяется результат зашифрования элементов этой последовательности в режиме простой замены:

T'_i = T_iE_K(f(i,S)),
T_i = T'_iE_K(f(i,S)).

Источник неповторяющейся последовательности элементов f(i,S), используемых для выработки гаммы, должен обладать следующими свойствами:

1. При любом значении параметра инициализации S обеспечивать максимальный или близкий к максимальному начальный отрезок последовательности элементов, в котором вырабатываемые элементы не повторяются. Обычно используется рекуррентный генератор элементов X_i+1 = (X_i), X₀ = S,  f(i,S) = X_i, обеспечивающий достаточно большой период повторения вырабатываемой последовательности.
2. Соседние элементы последовательности и вообще все ее элементы, отстоящие не слишком далеко друг от друга, должны достаточно сильно отличаться, чтобы усложнить отдельные виды криптоанализа, использующие элементарные регулярности во входных данных. По этой причине такой простейший источник последовательности элементов, как скажем, f(i,S) = (i + S) mod 2^N, где N - размер шифруемого блока, не является наилучшим решением, так как вырабатываемая им последовательность разбивается на дифференциальные пары, отличающиеся только в одном бите, создавая тем самым предпосылки для использования дифференциального криптоанализа. Если используемый алгоритм абсолютно устойчив к дифференциальному криптоанализу, данное условие неактуально.

Требования к источнику элементов в этом режиме шифрования примерно такие же, как и требования к источнику рандомизирующей последовательности в режиме простой замены с рандомизацией.

Источник последовательности элементов для выработки гаммы является настолько важным компонентом шифра, что разработчики российского стандарта шифрования сочли необходимым определить его явным образом. Стандартный источник состоит из двух независимых рекуррентных генераторов 32-битовых элементов с периодами 2³² и 2³²-1, в результате чего период повторения всей последовательности равен 2³²(2³²-1) ~ 2⁶⁴. Кроме того, соседние элементы последовательности отличаются по крайней мере на один бит в каждом байте.

9. Режим обратной связи по выходу генератора элементов гаммы.

Как и во всех остальных режимах данного класса, в режиме обратной связи по выходу вырабатывается последовательность элементов гаммы, которая используется для шифрования данных путем наложения на них с помощью операции побитового исключающего ИЛИ. Генератор гаммы организован в виде блока криптопреобразования E_K, часть выходных двоичных разрядов которого подается опять на вход, образуя тем самым петлю обратной связи. Элементы гаммы в этом случае вырабатываются блоками размера (L), меньшего или равного размеру блока используемого криптоалгоритма (N), LN. За- и расшифрование данных выполняется по следующим уравнениям:

T'_i = T_iHi_L(E_K(X_i)),
T_i = T'_iHi_L(E_K(X_i)),
где X₁ = S, X_i+1 = Lo_N-L(X_i) || Hi_L(E_K(X_i)).

Через Hi_L(X) и Lo_L(X) в вышеприведенных уравнениях обозначены операции извлечения L соответственно старших или младших битов блока X. Естественно, размер шифруемого блока для этого режима равен размеру элемента гаммы и не превышает размера блока данных используемого криптоалгоритма: |T'_i| = |T_i| = LN.

Однако режим обратной связи по выходу при L < N обладает следующими недостатками:

1. С точки зрения криптостойкости - было показано, что при L < N средний период повторения последовательности вырабатываемых элементов составляет приблизительно 2^N/2, что для наиболее распространенного на практике размера блока 64 бита даст 2³² - конечно, этого явно недостаточно. При L = N период вырабатываемой последовательности элементов равен 2^N, т.е. достигает возможного максимума для заданного размера блока.
2. С точки зрения эффективности шифрования - за один цикл криптографического преобразования шифруется меньше полного блока криптоалгоритма, что снижает быстродействие шифра.

Исходя из указанных соображений не имеет практически никакого смысла использовать режим обратной связи по выходу с различными размерами блока обратной связи и блока криптоалгоритма, криптографы рекомендуют выбирать L = N. В этом случае уравнения за- и расшифрования будут следующими:

T'_i = T_iX_i,
T_i = T'_iX_i,
где X₁ = E_K(S), X_i+1 = E_K(X_i).

Этот режим шифрования близок по своим свойствам к простому потоковому режиму. Отличие состоит в том, что при необходимости расшифровать фрагмент шифртекста придется вырабатывать всю последовательность элементов гаммы начиная с первого, выполняя криптографическое преобразование соответствующее число раз. В обычном потоковом режиме в этом нет необходимости - любой элемент гаммы может быть найден независимо от предшествующих ему, что дает этому режиму определенные преимущества в эффективности реализации при фрагментарном расшифровании зашифрованных данных.

10. Режим обратной связи по шифртексту.

Этот режим напоминает предыдущий, за исключением того, что для обратной связи в нем берется не элемент гаммы, а шифртекст. Точно так же шифрованию подвергаются блоки размера L, меньшего или равного размеру блока используемого криптоалгоритма (N), LN. Уравнения за- и расшифрования в режиме обратной связи по шифртексту следующие:

T'_i = T_iHi_L(E_K(X_i)),
T_i = T'_iHi_L(E_K(X_i)),
где X₁ = S, X_i+1 = Lo_N-L(X_i) || T'_i.

Хотя для данного режима, в отличие от предыдущего, не актуальна проблема малого периода последовательности вырабатываемых элементов гаммы, тем не менее он точно также теряет в производительности по сравнению с полноблоковым шифрованием. По этой причине имеет смысл использовать режим обратной связи по шифртексту только при равенстве указанных размеров: L = N. В этом случае уравнения за- и расшифрования будут следующими:

T'_i = T_iE_K(T'_i-1),
T_i = T'_iE_K(T'_i-1),
где полагаем T'₀ = S.

В отечественной криптографии этот режим называется режимом гаммирования с обратной связью.

11. Режим обратной связи по открытому тексту.

В потоковых режимах шифрования петлю обратной связи можно замкнуть только через шифртекст (выход устройства шифрования), гамму (выход блока криптографического преобразования) и открытый текст (вход устройства шифрования). Первые два режима рассмотрены выше, последний мы рассмотрим сейчас, завершая тем самым триаду возможных режимов с обратной связью. Понятно, что в режиме обратной связи по открытому тексту, как и в двух других, шифрованию подвергаются блоки размера L, меньшего или равного размеру блока используемого криптоалгоритма (N), LN. Уравнения за- и расшифрования в этом режиме следующие:

T'_i = T_iHi_L(E_K(X_i)),
T_i = T'_iHi_L(E_K(X_i)),
где X₁ = S, X_i+1 = Lo_N-L(X_i) || T_i.

Как и два другие режима с обратной связью, данный режим теряет в производительности по сравнению с полноблоковым шифрованием, если размер шифруемого блока меньше размера блока используемого криптоалгоритма, в силу чего имеет смысл выбирать эти размеры равными: L = N. В этом случае уравнения за- и расшифрования будут следующими:

T'_i = T_iE_K(T_i-1),
T_i = T'_iE_K(T_i-1),
где полагаем T₀ = S.

Подобно режиму со сцеплением блоков открытого текста, данный режим весьма экзотичен и используется только в особых ситуациях, когда к шифру предъявляются весьма специфические требования.

Подведем итог нашего рассмотрения:

1. Все режимы шифрования можно разделить на блочные и потоковые. В блочных режимах при за- и расшифровании используются взаимно обратные криптографические преобразования, в потоковых режимах - одно и то же преобразование. Следовательно, для того, чтобы определить, к какому типу относится конкретный режим шифрования, достаточно взглянуть на его уравнение расшифрования. Блочные режимы можно реализовать только на основе обратимого криптографического преобразования, потоковые - еще и на основе необратимой функции преобразования.
2. В блочных режимах шифрованию может подвергаться только полный блок данных. Соответственно, если размер шифруемого массива данных не кратен размеру блока криптоалгоритма, возникает ряд чисто технических трудностей: чем и как дополнить последний блок массива до полного блока и как передать информацию об истинном размере последнего блока.
3. Во всех режимах, за исключением простейшего режима простой замены, может использоваться начальный параметр. Повторное шифрование данных на том же самом ключе и с тем же самым начальным параметром не приводит к серьезным последствиям для блочных режимов, и существенно снижает стойкость в потоковых режимах. При прочих равных условиях стойкость снижается меньше, если в петле обратной связи присутствует шифртекст.
4. В потоковых режимах целесообразно выбирать размер блока обратной связи равным размеру блока криптоалгоритма, в противном случае "просядет" производительность шифра и могут возникнуть проблемы с малым периодом гаммы (в режиме обратной связи по выходу).
5. Исходя из сказанного выше можно дать следующие рекомендации по выбору режимов шифрования для различных задач обеспечения секретности:
   • для шифрования ключевых данных и любых других данных относительно небольшого размера, кратного размеру блока криптоалгоритма и не содержащих повторяющихся блоков больше всего подойдет режим простой замены как самый простой;
   • для систем хранения данных с частым перешифрованием отдельных их фрагментов больше всего подходят блочные режимы простой замены с рандомизацией и сцепления блоков шифртекста - это будет наилучшим решением в системах прозрачного шифрования данных на магнитных носителях в компьютерах и т.д. - в этом случае все физические фрагменты данных (сектора) шифруются на одном и том же ключе, но каждый на своем собственном начальном параметре, зависящем от логического или физического номера сектора;
   • в системах шифрованной связи или в файл-ориентированных системах хранения данных целесообразно использовать потоковые режимы гаммирования или гаммирования с обратной связью;
   • все прочие блочные и потоковые режимы применяются в отдельных частных случаях, когда предъявляются особые требования к шифру, и не нашли массового применения.

[Оглавление] [Предыдущий выпуск] [Следующий выпуск]
[Начало осмотра] [Что нового] [Статьи] [Выпуски в "Байтах"] [Что скачать] [Криптоалгоритмы] [Глоссарий] [Ссылки] [Гостевая книга] [Форум] [Напиши мне]

Версия от 23.12.00. (c) 1998-2000 Андрей Винокуров.