DFC

Шифрование

Расшифрование

«Запутывающая перестановка» (Confusion Permutation)

DFC — блочный шифр с длинной блока 128 бит, представляющий 8-раундовую Сеть Фейстеля. Используется 64-битовая функция шифрования с восемью различными раундовыми ключами ${\displaystyle K_i,i=1\dots <!--\; \dots \; -->n,n=8}$  по 128 бит, получаемыми из одного исходного ключа шифрования. Каждый раунд функция шифрования использует левую половину исходного текста (блока) и два 64-битных ключа, являющихся половинами соответствующего раундового, для получения 64-битного шифрованного текста. Полученная зашифрованная левая половина блока прибавляется к правой. Затем, согласно идее сети Фейстеля, левая и правая части блока меняются местами^[2]. Расшифровывание происходит так же как и шифрование с использованием раундовых ключей в обратном порядке. Длина исходного ключа шифрования не ограничивается тремя фиксированными размерами, предусмотренными конкурсом AES (128, 192 и 256 битов), и может быть переменного размера от 0 до 256 бит^[3].

Вход: ${\displaystyle X}$  — 64-битная левая половина исходного текста (блока); ${\displaystyle K_i}$  — соответствующий раундовый ключ.

Выход: ${\displaystyle Y}$  — 64-битная зашифрованная левая половина исходного текста.

Этап 1: ВычислениеПравить

Раундовый ключ ${\displaystyle K_i}$  делится на две половины: ${\displaystyle A_i}$  и ${\displaystyle B_i}$ . Далее производится следующее вычисление:

${\displaystyle Z=(A_i\cdot <!--\; \cdot \; -->X+B_i\mathrm{mod}(2^{64}+13))\mathrm{mod}{2}^{64}}$ 

Этап 2: «Запутывающая перестановка»Править

«Запутывающая перестановка» (Confusion Permutation) использует S-box, трансформирующий входные 6 бит в 32 бита с помощью таблицы замены RT (Далее считаем ${\displaystyle RT()}$  функцией данного преобразования).

Пусть ${\displaystyle Z_l}$  и ${\displaystyle Z_r}$  — левая и правая части полученного ${\displaystyle Z}$  по 32 бита каждая (обозначим это как ${\displaystyle Z=Z_l|Z_r}$ ), ${\displaystyle KC}$  и ${\displaystyle KD}$  — заданные константы длиной 32 и 64 бита соответственно, а ${\displaystyle trun{c}_n()}$  — функция, оставляющая ${\displaystyle n}$  крайних левых бит аргумента, тогда результат функции шифрования:

${\displaystyle Y=(Z_r\oplus <!--\; \oplus \; -->RT(trun{c}_6(Z_l)))|(Z_l\oplus <!--\; \oplus \; -->KC)+KD\mathrm{mod}{2}^{64}}$ 

S-блок — основной компонент симметричных криптоалгоритмов, производящий замену n входных бит на m выходных по некоторой таблице поиска. Используется для максимального устранения зависимостей между ключом шифрования и шифротекстом, что позволяет выполнить свойство Шеннона о запутанности криптоалгоритма. Обычно используются S-блоки с фиксированной таблицей поиска (DES,Rijndael), но в некоторых криптоалгоритмах таблица поиска генерируется с использованием входного ключа шифрования (Blowfish,Twofish). В DFC используется фиксированная таблица поиска RT, её значения будут описаны ниже. Необходимым критерием таблицы поиска является инъективность.

Для повышения стойкости шифра каждый раунд функция шифрования использует разные раундовые ключи ${\displaystyle K_i}$ . Для их получения используется основной ключ шифра ${\displaystyle K}$ . Алгоритм получения состоит в следующем.

Шаг 1Править

Сначала дополним основной ключ шифра ${\displaystyle K}$  (длина которого колеблется от 0 до 256 бит) заданной константой ${\displaystyle KS}$  длиной 256 бит, отрезая лишние символы.

${\displaystyle PK=trun{c}_{256}(K|KS)}$ .

Полученный ${\displaystyle PK}$  разрезаем на 8 32-битных частей ${\displaystyle P{K}_i,i=1\dots <!--\; \dots \; -->8}$ .

${\displaystyle PK=P{K}_1|\dots <!--\; \dots \; -->|P{K}_8}$ 

Шаг 2Править

Определим несколько вспомогательных переменных, используя полученные ${\displaystyle P{K}_i}$ :

${\displaystyle O{A}_1=P{K}_1|P{K}_8;}$ 

${\displaystyle O{B}_1=P{K}_5|P{K}_4;}$ 

${\displaystyle E{A}_1=P{K}_2|P{K}_7;}$ 

${\displaystyle E{B}_1=P{K}_6|P{K}_3;}$ 

а также для i=2,3,4

${\displaystyle O{A}_i=O{A}_1\oplus <!--\; \oplus \; -->K{A}_{i-<!--\; -\; -->1};}$ 

${\displaystyle O{B}_i=O{B}_1\oplus <!--\; \oplus \; -->K{B}_{i-<!--\; -\; -->1};}$ 

${\displaystyle E{A}_i=E{A}_1\oplus <!--\; \oplus \; -->K{A}_{i-<!--\; -\; -->1};}$ 

${\displaystyle E{B}_i=E{B}_1\oplus <!--\; \oplus \; -->K{B}_{i-<!--\; -\; -->1};}$ 

где ${\displaystyle K{A}_1,K{B}_1,K{A}_2,K{B}_2,K{A}_3,K{B}_3}$  — заданные 64-битные константы.

Шаг 3Править

Таким образом мы получили из исходного ключа ${\displaystyle K}$  длиной 256 бит два ключа ${\displaystyle OK(K),EK(K)}$  длиной по 512 бит каждый.

${\displaystyle OK(K)=O{A}_1|O{B}_1|\dots <!--\; \dots \; -->|O{A}_4|O{B}_4}$ 

${\displaystyle EK(K)=E{A}_1|E{B}_1|\dots <!--\; \dots \; -->|E{A}_4|E{B}_4}$ 

Пусть ${\displaystyle En{c}_{OK(K)}(),En{c}_{EK(K)}()}$  — функции шифрования, описанные в пункте 2, только с 4 раундами вместо 8, использующие для ${\displaystyle i}$ -го раунда ${\displaystyle i=1\dots <!--\; \dots \; -->4}$  раундовые ключи ${\displaystyle O{A}_i|O{B}_i}$  и ${\displaystyle E{A}_i|E{B}_i}$  соответственно. Тогда полагая что ${\displaystyle K_0=0{|}_{128}}$  получаем искомые раундовые ключи:

Если ${\displaystyle i}$  — нечетное, то:

${\displaystyle K_i=En{c}_{OK(K)}(K_{i-<!--\; -\; -->1})}$ 

Если ${\displaystyle i}$  — четное, то:

${\displaystyle K_i=En{c}_{EK(K)}(K_{i-<!--\; -\; -->1})}$ 

Раундовые ключи найдены.

Для проведения операции шифрования шифром DFC, как показано выше, требуются следующие фиксированные параметры:

Наименование	Длина (бит)	Назначение
${\displaystyle KD}$	64	Функция Шифрования, Этап 2
${\displaystyle KC}$	32	Функция Шифрования, Этап 2
${\displaystyle K{A}_1,K{A}_2,K{A}_3}$	64	Получение раундовых ключей, Шаг 2
${\displaystyle K{B}_1,K{B}_2,K{B}_3}$	64	Получение раундовых ключей, Шаг 2
${\displaystyle KS}$	256	Получение раундовых ключей, Шаг 1
Таблица поиска ${\displaystyle R{T}_i,i=0\dots <!--\; \dots \; -->63}$	64x32	Функция Шифрования, Этап 2

Для задания фиксированных параметров обычно используется шестнадцатеричная запись числа e:

e = 2.b7e151628aed2a6abf7158…

Далее будем считать ${\displaystyle EC}$  только дробную часть шестнадцатеричной записи числа e.

${\displaystyle trun{c}_{2144}(EC)=R{T}_0|R{T}_1|R{T}_2|\dots <!--\; \dots \; -->|R{T}_{63}|KC|KD}$ 

${\displaystyle trun{c}_{640}(EC)=K{A}_1|K{A}_2|K{A}_3|K{B}_1|K{B}_2|K{B}_3|KS}$ 

Таким образом получим следующее (данные представлены в шестнадцатеричной системе исчисления):

Константы:

KD  = 86d1bf27 5b9b251d
KC  = eb64749a
KA1 = b7e15162 8aed2a6a
KA2 = bf715880 9cf4f3c7
KA3 = 62e7160f 38b4da56
KB1 = a784d904 5190cfef
KB2 = 324e7738 926cfbe5
KB3 = f4bf8d8d 8c31d763
KS  = da06c80a bb1185eb 4f7c7b57 57f59584 90cfd47d 7c19bb42 158d9554 f7b46bce

Криптостойкость — способность алгоритма шифрования противостоять возможным атакам на него. Структура DFC основана на декорреляционном методе^[1], разработанном Сержом Ваденэ, с доказуемой стойкостью к известным криптографическим атакам. Однако уже существуют аналитические результаты, показывающие обратное.

Слабые ключи и константы^[4]Править

Для удобства возьмем, что ${\displaystyle L{K}_i}$  — левая половина i-го раундового ключа K, ${\displaystyle R{K}_i}$  — правая половина. Если ${\displaystyle R{K}_i}$  равна 0, то на выходе функции шифрования ${\displaystyle Z_{K_i}\left(X\right)}$  будет некая константа, независящая от ${\displaystyle X}$ . Следовательно, взяв ${\displaystyle L{K}_2}$ , ${\displaystyle L{K}_4}$ , ${\displaystyle L{K}_6}$  равными 0, шифр становится уязвимым для distinguishing attack (англ.) (более подробно о такой атаке с примером^[5]). Шанс появления таких ключей равен 2⁻¹⁹².

Следует отметить ещё одну особенность шифра, связанную с плохим выбором констант ${\displaystyle K{A}_i}$  и ${\displaystyle K{B}_i}$ . (см. «Раундовые ключи») Если ${\displaystyle K{A}_3=K{B}_3=0}$ , ${\displaystyle K{A}_2=K{A}_4}$ , ${\displaystyle K{B}_2=K{B}_4}$ , то получим ${\displaystyle O{A}_1=O{A}_3}$ , ${\displaystyle O{A}_2=E{A}_2=0}$ , ${\displaystyle O{A}_2=O{A}_4=0}$ . А значит

${\displaystyle En{c}_{OK\left(K\right)}\left(X_L|X_R\right)=X_R|X_L}$ 

${\displaystyle En{c}_{EK\left(K\right)}\left(X_L|X_R\right)=X_R|X_L}$ 

Таким образом получаем нулевые раундовые ключи для всех раундов, значит

${\displaystyle DF{C}_K(U|V)=(V\oplus <!--\; \oplus \; -->C)|(U\oplus <!--\; \oplus \; -->C)}$ , где ${\displaystyle C}$  — некая константа.

По получившемуся закрытому тексту можно восстановить исходный текст.

Атака по времениПравить

Атака по времени — одна из разновидностей атаки по сторонним каналам. Реализации устойчивых шифров (DFC не исключение) должны быть такими, чтобы время вычисления операций по модулю (mod) не зависело от входных данных. В противном случае возможно применение атаки Кохера по времени^[6].

Атака «Photofinishing Attack»Править

Эли Бихам предложил эффективную технологию реалиции шифра, основанную на 1-битновом SIMD-микропроцессоре. Этот вид реализации не подвержен атаке Шамира «Photofinishing attack»^[7].

• LASEC. Информация о DFC
• DFCv2